记录一次公开课靶场新手也能找CMS漏洞

曲奇   ·   发表于 2020-10-26 15:28:20   ·   CTF&WP专版

经过一段时间的摸索,想要突破一下无人完成的公开课靶场《萌新也能找CMS漏洞》

## 来自一位萌新的咆哮!!!

最终还是没能成功获得flag

不管怎么说,自己还是付出了很多,也不想要浪费,就分享给大家,互相学习吧!

关卡如下 ↓↓↓ 学姐学哥们也可以去尝试尝试呢

##那我们现在就开始了!

首先我们打开靶场,看到靶场的主页 ↓↓↓

很明显这个是一个Bluecms的程序
既然已经知道了这个程序,那么第一时间肯定是上网查询关于这个 CMS 的一些信息,或者一些前辈们对这套程序的一些研究
然后鄙人从各大搜索引擎,收集了关于bluecms的一些信息如下 ↓↓↓
http(s)://url/ad_js.php存在注入

http(s)://url/include/common.fun.php存在ip伪造注入

这边我就利用了http(s)://url/ad_js.php注入漏洞来攻破此关卡

首先还是常规手法,加引号测试是否报错~~~

然后我们去掉引号,正常返回 ↓↓↓

然后我们还是常规操作 union select 1,2,3,4查找一下注入点
测试发现1~6都为报错 ↓↓↓


直到7的时候,数据库返回了一个7,那么我们从7的数字上面构造注入

然后我们通过database()查一下数据库名


## 成功!
相同的方法继续注入,就什么都有了
列一下payload和数据union select 1,2,3,4,5,6,group_concat(table_name) from information_schema.tables where table_schema=database()


然后再查一下管理员账号密码的表,花里胡哨一顿操作之后,成功获取管理员账号密码

密码为md5加密,通过常规解密之后登录本关的后台~~

之后在后台翻了许久,并未发现flag!!!
萌新眉头一皱,发现事情并未那么简单-.-

然后翻了一天一夜,发现了在后台模板处存在任意文件访问修改的漏洞!!!

然后我们访问上级目录`../../*.php`
插入我们常见的一句话~~**


岂不美哉~
测试一下phpinfo

成功

使用菜刀链接翻了许久!!!
还是没有flag

绝了!!!

用户名金币积分时间理由
veek 0.00 0 2020-10-27 09:09:41 鼓励发帖~
veek 50.00 0 2020-10-27 09:09:58 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 2020-12-23 | 1534 View

arvin
发表于 2020-10-29

问了

评论列表

  • 加载数据中...

编写评论内容

qiancheng
发表于 2020-10-31

本来就没有flag,mss老师说的

评论列表

  • 加载数据中...

编写评论内容

yslfei
发表于 2020-12-23

反转整个系统 都找不着flag

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.