记录一次公开课靶场新手也能找CMS漏洞

经过一段时间的摸索，想要突破一下无人完成的公开课靶场《萌新也能找CMS漏洞》

## 来自一位萌新的咆哮！！！

最终还是没能成功获得flag

不管怎么说，自己还是付出了很多，也不想要浪费，就分享给大家，互相学习吧！

关卡如下 ↓↓↓ 学姐学哥们也可以去尝试尝试呢

##那我们现在就开始了！

首先我们打开靶场，看到靶场的主页 ↓↓↓

很明显这个是一个Bluecms的程序
既然已经知道了这个程序，那么第一时间肯定是上网查询关于这个 CMS 的一些信息，或者一些前辈们对这套程序的一些研究
然后鄙人从各大搜索引擎，收集了关于bluecms的一些信息如下 ↓↓↓
http(s)://url/ad_js.php存在注入

http(s)://url/include/common.fun.php存在ip伪造注入

这边我就利用了http(s)://url/ad_js.php注入漏洞来攻破此关卡

首先还是常规手法，加引号测试是否报错~~~

然后我们去掉引号，正常返回 ↓↓↓

然后我们还是常规操作 union select 1,2,3,4查找一下注入点
测试发现1~6都为报错 ↓↓↓

直到7的时候，数据库返回了一个7，那么我们从7的数字上面构造注入

然后我们通过database()查一下数据库名

## 成功！
相同的方法继续注入，就什么都有了
列一下payload和数据union select 1,2,3,4,5,6,group_concat(table_name) from information_schema.tables where table_schema=database()

然后再查一下管理员账号密码的表，花里胡哨一顿操作之后，成功获取管理员账号密码

密码为md5加密，通过常规解密之后登录本关的后台~~

之后在后台翻了许久，并未发现flag！！！
萌新眉头一皱，发现事情并未那么简单-.-
然后翻了一天一夜，发现了在后台模板处存在任意文件访问修改的漏洞！！！

然后我们访问上级目录`../../*.php`
插入我们常见的一句话~~**

岂不美哉~
测试一下phpinfo

成功

使用菜刀链接翻了许久！！！
还是没有flag

绝了！！！