每一次当我见到my.ini的时候我都很开心,因为这意味着webshell提取有望了。可惜我昨天遇到了意外。我无意中到了一个博客。我一看是pjblog2005的。日志也只有一篇,看来博主没理那个博客很久了。这么旧的版本有比较多的漏洞,什么跨站什么的。我看猜博主应该连密码也没改。我用默认密码账号admin,admin888一试,竟然进去了。既然已经进了后台,那么那个webshell不是什么难事了。pjblog后台拿webshell的方法就是利用数据库恢复的功能把你上传的小马把数据库替换了。但用这个方法要注意一点就是你确的那个数据库路径你可以访问。上次我就碰到这种情况,数据库那个目录是限制了可以浏览asp的,所以导致我替换了别人的数据库,又拿不到webshell还打草惊蛇。而且记住要先备份,等你拿了webshell然后再恢复就神不知鬼不觉了。拿了webshell后,我看看有什么可以利用的,结果给我看见了在c:\windows下有个my.ini.我高兴了一阵,然后我测试一下空间是否支持php,结果支持,我狂喜,以为又多一台肉鸡了。用my.ini里面的用户密码登陆mysql数据库一下,竟然登陆不了。弄了几次,还是不行。结果我无意中发现那个博客竟然是跟j8hacker.com是同一台几的。至此,我完全相信了那个my.ini是伪造的了。我想j8hacker的站长不会把站放在这样的一个主机上,或者有人一早就拿下了主机,然后伪造这个文件。但后来想想,那个人这么做的动机是什么呢?真的令人猜不透。到底是不是伪造,我又有点怀疑了。但如果不是假的,但为什么登陆不了呢?而且怎么令my.ini与mysql数据库无关呢?希望有高人告诉我。
我帮不了你咯~~
[...] 小马跟图片合并的asp小马(方法 copy 1.jpg /b + asp.asp /a wty.jpg) [...]
聽說my.ini可以改成任意名字,如果默認的人家php注射比較容易搞到原文件。
晕。我还从来没有试过用php注射搞进过呢。不过my.ini却见不少。原文件是指my.ini?
my.ini 里又mysq了的密码,在默认安设置下,
又mysql的root密码,应该就又了system权限了,
不过,人家不改密码的几率太小.