擂台赛B组二、三题思路。

owl   ·   发表于 2个月前   ·   CTF&WP专版
在这一关卡了很久,主要就是怎么也进不去后台页面,刚开始进不去我就以为是用第一关拿到的那个账号和密码在前台上传文件getshell,实际测试后发现没这么简单。
最后还是把目光放在了后台页面上

下面这个图是后台页面访问的情况

下面这个图是真正的不存在的文件的访问的情况

通过观察两者是有一些区别的,刚开始我以为是通过 .htaccess 文件对访问IP进行了限制我就修改x-forwarded-for 头尝试127.0.0.1来访问,但结果还是不行

心灰意冷的时候鼠标一抖把后台请求包GET改成了POST,也难得改回去我就直接发送如下的请求包,发现访问到页面了(原理还不知道)


通过输入第一关拿到的用户名和密码登录了后台(所有过程都需要将GET方式改成POST)

之后在网上查了很多资料其中有一个是通过模板的功能拿shell,在跟着测试之后发现只能预览并不能修改模板

访问index.php?opiton=com_admin&views=sysinfo 提示用户权限不足无法访问

访问index.php?opiton=com_users 发现当前有两个用户,Super Users 是最高权限,当前我只有administrator(管理)和Registered(注册)权限,那就要想办法把权限提升到Super Users就有可能访问到哪些无权访问的资源。

在网搜索Joomla 后台提权,搜到了一篇关于Joomla后台提权的文章 https://xz.aliyun.com/t/7709 根据他给出的Poc访问用户组管理并修改Public组,通过Poc中的提升修改了请求包 jform[parent_id] 的值。Poc如下






之后尝试添加一个Super Users权限的用户,发现能够选择Super Users权限组了



虽然是多个会员组但其中已经包含了Super Users组,登录自己创建的用户尝试访问index.php?option=com_admin&view=sysinfo 发现已经能够正常访问了

之后尝试用模板写php文件,有云锁需要绕过(这个比较简单就能绕过),preg_replac函数绕过



访问123.php post传参


第三关我以为要提权才能拿结果直接访问根目录就拿到了(不太尽兴)


总结:这个擂台赛贴近实战,很考验我们解决问题的能力。多尝试、多思考。
用户名金币积分时间理由
veek 100.00 0 2021-02-04 17:05:05 提前通关奖励~
veek 100.00 0 2021-02-04 17:05:04 提前通关奖励~

打赏我,让我更有动力~

0 Reply   |  Until 2个月前 | 185 View
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者