记一次曲折的获取网站路径

2019年07月28日

  

          网站php mysql 存在sql注入root权限 跑库的时候表是非常多常见的admin member user manage 都看完了 没有找到需要的数据 只能一个一个重新找  最后发现存在管理员的表的是一个不显眼的表里面,登录到后台发现后台只验证账号不验证密码。

        本来想这后台的权限应该很大,扎心了。 编辑器都是不能利用的正常上传个图片都无法上传,最后发现很多栏目都是有问题的 IE6也是如此 只有一个可以正常上传图片的 还是无法利用的那种。起初我还在纳闷这个网站的运营者是怎么每天在更新的。后台就这样告一段落。数据库root权限试了下支持外链,想着这下数据库直接可以getshell了。看到了数据库的安装路径想着网站的路径的也在PHPWEB 的这个路径下 

2019-07-31_225508.png

SELECT '1111' INTO OUTFILE 'D:\\PHPWEB\1.txt'   //使用outfile 进行写文件
SELECT LOAD_FILE('D:\\PHPWEB\\1.txt')                    //使用load_file读取文件

       正常可读写,尝试让网站与数据库交互时报错爆出路径,试了好一会无果,然后根据尝试 wwwroot 、www、webroot 、web、网站域名、等等都没有猜到!尝试在数据库写马到网站里让其爆错,写的PHP文件都是被注释掉了!接下来转换思路寻找它使用的是什么集成环境 一般不是集成的都是安装在C盘的。根据经验发现他使用的是护卫神,护卫神自带phpmyadmin是对外开放的 IP:999发现不行人为关掉了。其实在此之前我在纳闷root权限 sqlmap 为什么 os-cmd 执行不成呢,原来是被拦截了!!!继续转换思路WEB服务器是IIS7.5 报错信息关掉了。那就去找IIS 的日志 ,试了好多都没有读出来有用的东西,file://D:/   这个路径真没毛病 。。。。  file 调用 本地 还是中文 目录 中文就放弃了 。。。继续寻找其他的目录2019-07-31_235456.png    

   C:\Windows\System32\inetsrv\config\applicationHost.config

        在这个路径下找到有用的信息 物理路径 D:\sscw98   其他目录都是中文目录,这下总可以getshell了吧    2019-08-05_152233.png

       去数据库执行了 一下 可以正常读写。尝试写了个php文件发现 无法显示 有护卫神 上免杀马

SELECT '123' INTO OUTFILE 'D:\\sscw98\1.txt'   

SELECT LOAD_FILE('D:\\sscw98\\1.txt')


https://github.com/testsecer/WebShell/blob/master/php/%E6%97%A0%E7%89%B9%E5%BE%81%E5%85%8D%E6%9D%80%E6%89%80%E6%9C%89waf%E4%B8%80%E5%8F%A5%E8%AF%9D.php


    成功getshell!!! 找这个物理路径费了好大劲。





参考链接 https://www.jb51.net/article/112583.htm



分类:技术文章 | 标签: 渗透getshell | 查看:802
powershell反弹shell 的几种方法Nmap常用命令

发表评论: