[GKCTF 2021]easycms Writeup ——蝉知7.7

于 2023-07-07 11:44:32 发布
阅读量780 收藏
点赞数 1
分类专栏: web刷题 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leaf_initial/article/details/131593737
版权

[GKCTF 2021]easycms

是一个静态网页,点啥都没有用(除了友链),用dirsearch扫一下

image-20230706184519066

扫到了/.admin

image-20230706190327102

然后去访问admin.php

image-20230707103234332

这里的url后面的referer经过base64解码后是/admin.php,本来想直接把他改成/flag发现不行,只能从尝试登录

image-20230707002121305

这里本来打算直接爆破账号密码的,但是试了试弱口令admin12345直接成功了,蚌

一开始想通过文件上传来打的,但是一直上传失败,只能换一种方法

image-20230707103830426

点击设计-->主题然后随便选择一个主题,点击自定义,有一个导出主题

image-20230707105200248

随便输点东西进去

image-20230707105231086

点击保存后,会给我们下载一个文件,将该文件的下载链接复制下来

image-20230707105359793+

http://node4.anna.nssctf.cn:28640/admin.php?m=ui&f=downloadtheme&theme=L3Zhci93d3cvaHRtbC9zeXN0ZW0vdG1wL3RoZW1lL2RlZmF1bHQvMS56aXA=

可以看到theme是经过base64加密后的密文,将他解码得到

/var/www/html/system/tmp/theme/default/1.zip

猜测可能存在任意文件下载,将theme后面的内容改成将/flagbase加密后的字符串,得到payload:

http://node4.anna.nssctf.cn:28640/admin.php?m=ui&f=downloadtheme&theme=L2ZsYWc=

下载后是个压缩包,将文件扩展名改成.txt或者直接用notepad++打开得到flag

后记

由于是个CVE,就自己找了找还有没有别的打法,跟着别的师傅的打法又打了一遍

[代码审计]蝉知企业门户系统v7.7存在命令执行漏洞

之前登录到管理员后台的步骤是一样的

设计-->高级这里可以看出可以编辑代码,但是提示我们要创建文件

image-20230707111407416

然后去设置中的微信设置,随便写点东西然后保存

image-20230707112531322

点击已完成接入,在原始ID这里进行输入../../../system/tmp/kzgi.txt/0最后那个txt名称为之前修改模板提示的文件,剩下的随便输

image-20230707113400640

????,OK,寄了,打不了

image-20230707113618649

以上纯小丑行为,请勿模仿

Leafzzz__
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
NSSCTF刷题记录
最新发布
5fn
07-17 808
NSS靶场刷题记录。站在小白的视角上写了在写题目的wp方面更多是想体现题目思考的逻辑和细节,更多是写给同样新手小白的内容,解题方面为什么从这一步到下一步的,这样写确实有些麻烦,但是很助于培养思考题目的逻辑思维,有些地方可能理解说辞不是特别到位,如果有问题就麻烦各位大佬师傅指点~
蝉知CMS的GetShell
weixin_50464560的博客
08-17 892
前言 简单记一下在前段时间的 GKCTF X DASCTF 应急挑战杯中遇到的这个有趣的 CMS,题目不难,但是还蛮有趣的。 预期解 进入题目,是一个蝉知 CMS: 访问 admin.php 见到后台: 后台账号密码为弱⼝令 admin/12345,登陆进入,并在设计处存在可以编辑模板的地方: 但是点击保存时发现存在限制: 请在服务器创建 /var/www/html/system/tmp/fdbe.txt 文件,如果存在该文件,使用编辑软件打开,重新保存一遍。 但...
蝉知CMS7.0.1后台模板Getshell
xxx9686的博客
09-26 626
第797行if($result) $this->send(array('result' => 'success', 'message' => $this->lang->saveSuccess, 'locate' => inlink('editTemplate', "moduel=$module&file=$file")));首先我们看第788行,$template = $this->config->template->{$this->app->clientDevice}->name;创建一个数组,if(!
蝉知CMS 7.X XSS漏洞复现
qq_35664104的博客
09-27 1452
个人博客地址:xzajyjs.cn 作为一个开源的企业门户系统(EPS), 企业可以非常方便地搭建一个专业的企业营销网站,进行宣传,开展业务,服务客户。蝉知系统内置了文章、产品、论坛、评论、会员、博客、帮助等功能,同时还可以和微信进行集成绑定。功能丰富实用,后台操作简洁方便。蝉知系统还内置了搜索引擎优化必备的功能,比如关键词,摘要,站点地图,友好路径等,使用蝉知系统可以非常方便的搭建对搜索引擎友好的网站。 今天就对他的早期版本7.x的xss漏洞进行复现。 进到他的主页,先观察到有留言板,可以考虑是否存在
[代码审计]蝉知企业门户系统v7.7存在命令执行漏洞
Y4tacker的博客
07-18 1794
文章目录写在前面分析蝉知企业门户系统 V7.7存在命令执行漏洞 写在前面 感想BUUCTF平台之前没打GKCTF这次跟着复现一次,学会了新东西 分析 蝉知企业门户系统 V7.7存在命令执行漏洞 可以看见相较于上一个版本多了一个需要文件存在才能进行模板修改 我们可以在system/module/common/model.php下面找到,其下面调用的是file_exists,这个函数可以使用文件或者文件夹绕过 而刚好微信模块就存在此功能,点击设置,微信设置,下面先随便填写保存 再点击已完成接入 在原始I
NSSCTF RCE模块
m0_73121489的博客
06-26 424
txw4ever是一个包含JSON数据的字符串,json_decode函数将其解码为一个关联数组,并将其赋值给$command变量,其中$command[‘cmd’]表示JSON中"cmd"键对应的值。过滤了很多东西,但是管道符没有过滤,用到了Linux的tee命令,用tee命令把想要执行的命令写进一个文档里面,再去访问这个文件就可以执行命令了。改成上面这个样子 ```…/system/tmp/rioq``,就是刚刚爆出来的绝对路径去掉后缀,然后保存。执行命令,但是没有echo就没有回显,用?
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
UMCTF2021-Writeup:MOCSCTF主持的UMCTF2021的文章
03-14
UMCTF2021-编写 MOCSCTF主持的UMCTF2021的文章 欢迎加入我们: 欢迎加入我们的行列: CTF时间: ://ctftime.org/team/120747 面子书: : 感谢以下提供协助: 感谢您提供的支持: 特鲁@MOCTF 梁锦@@ MOCTF 邦@MOCTF...
2021强网杯Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网杯Writeup--by Nu1L Team.pdf”,“第五届‘强网杯’全国网络安全挑战赛”以及标签“CTF 网络安全 信息安全”。这些信息共同指向一个全国性的网络安全竞赛和Nu1L团队提交的...
[2021东华杯]Web Writeup1
08-03
Java 反序列化漏洞及利用 Java 反序列化漏洞是 Java 语言中的一种常见漏洞,发生在 Java 对象的序列化和反序列化过程中。该漏洞可以导致攻击者执行恶意代码,盗取敏感信息,或者控制服务器。 ...
php 忘记admin,蝉知系统忘记后台管理员密码怎么办?
weixin_39944233的博客
04-10 470
经常有马虎的站长咨询忘记管理员密码怎么办,不用急,这个问题很简单,首先我们来了解下蝉知系统的加密原理:md5(md5($password) . $account)即蝉知进行了两次MD5加密才得到最终的加密值,用户设置密码时,蝉知先将密码值进行第一次MD5加密得到一个密码字符串值,然后将这个字符串值后接用户名组成一个新字符串后,再进行第二次MD5加密,最终得到的密码字符串值才保存到数据库中。明白了...
BugKuCTF(CTF-练习平台)——Crypto-滴答~滴
Ifish的博客
01-23 4559
题目描述: 题目解答: 1)思路:看到题目,说明是摩斯密码,在网址http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx中解密 2)解码: 故flag为:KEY{BKCTFMISC} ...
蝉知企业门户系统v7.7 - 命令执行漏洞
LYJ20010728的博客
08-30 2109
蝉知企业门户系统v7.7 - 命令执行漏洞环境搭建漏洞复现漏洞分析 环境搭建 源码下载地址 解压后将文件放在 web 目录下即可访问 漏洞复现 首先登录后台,找到模板编辑的地方(设计 -> 高级)插入恶意代码,但保存文件时显示需要存在指定文件时才能进行模板修改 找到设置,选择微信设置,在这里添加一个公众号,原始ID填写的内容为需要创建文件的路径加上一个 /0,即类似于 ../../../system/tmp/bmet.txt/0 这里需要先创建⼀个正常的接⼝,然后再重新
php反射应用场景_蝉知 CMS5.6 反射型 XSS 审计复现过程分享
weixin_39719101的博客
12-05 241
本文作者:AirSky(信安之路首次投稿作者)获得奖励:免费加入信安之路+邀请加入信安之路核心群+获得 90sec 论坛邀请码一枚最近在深入学习反射 XSS 时遇到蝉知 CMS5.6 反射型 XSS 这个案列,乍一看网上的漏洞介绍少之又少,也没有详细的审计复现流程。虽然是 17 年的漏洞了,不巧本人正是一个喜欢钻研的人。这个 CMS 引起我极大的兴趣。在基本没有开发经验的前提下,目前只对...
蝉(feng)知(wo)cms
蚁景网安学院
05-07 930
本文原创作者:EDI-VOID原创投稿详情:重金悬赏 | 合天原创投稿等你来!前言前段时间朋友在渗透测试中遇到一个蝉知cms,于是一起审计出了不少漏洞,现在漏洞已经在新的版本中修复正文指...
[复现]蝉知cms 5.6 前台注入
weixin_30699741的博客
08-11 517
https://share.weiyun.com/5cbff06337d32a9748d0f1bead5ddbd5 前台注入 在/chanzhieps/system/module/cart/control.php页面的add函数 public function add($product, $count) { if($this->app->user-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值