前言:以前提权服务器的时候在桌面上看到过vps说明,就拿回来看了看,里面写着默认的phpmyadmin端口:999 root账号:root vps5481915A 我发现有这个的服务器还不在少数!于是有了下文~
目标地址:http://www.langdengfushi.com/admin/index.php ecshop的
不过爆账户的漏洞使不上,不知道管理员用这些站来干嘛的,一件商品都没有!后台也没有弱口令!
想着php的站估计会有phpmyadmin,于是在域名后面加上999居然还真出来了。
利用 root vps5481915A 成功登录。 这里估计有人想说直接用phpmyadmin导出shell,事实上这个root是降权的,并且phpmyadmin的目录不可写。
接下来,找到目标站的数据库,查看下账户,不看不知道,一看吓一跳!那么长的用户名,密码也破解不了,还是加了salt值的。
既然破解不了,索性把密码修改了! phpmyadmin这点权限还是有的。
Password填入32位的hash密码,这里用的是admin(21232f297a57a5a743894a0e4a801fc3)
Salt值这里就不要填了,然后点最下面的执行。现在去目标站后台登陆,熟悉的后台页面又出现了!
ecshop后台拿shell方法很多,这里再说一种直接上传的方法!
打开文章列表——随便一个点编辑——浏览上传
这个需要使用图片马,一般的马儿上传会说是格式不对,我用的是下面这个图片马test.php;.jpg 
然后直接菜刀连接,拿下shell
下面来提权啦,经测试,支持aspx,执行命令无压力,只是补丁打的有点多,300多个,试了很多溢出神器都没有用,难道就这样放弃了?NO!
扫端口发现有serv_u,执行命令显示503 not login in!
显然是密码被改了。找到ServUDaemon.ini ,发现没有设置控制台密码哎~
这么神奇!
再瞧了瞧serv_u目录
神马情况,还有个备份的,于是下载回来用c32asm打开瞧一下,大致搜索了下账号密码,并没有发现异常啊!
ServUDaemon.exe
ServUDaemon.exe.bak
对比下上面两幅图有什么区别?????
真是神坑啊! LocalAdministrator 被改为了LacalAdministrator
大半夜的,眼神不好就被忽悠过去了!
好吧,现在账号有了,230 user logged in顺利执行命令提权
转载请注明:jinglingshu的博客 » Phpmyadmin另类拿站+提权