题目地址:真的很简单
对于我这样的菜鸟来说,真的一点都不简单,几乎花了一天的时间才最终拿到了flag。
题目提示:请访问http://file.ichunqiu.com/49ba59ab下载dedeCMS。
那么我们就老老实实的按照要求来
打开后发现是一个dedeCMS的执行文件,先下载了再说。运行起来需要输入一个地址,然后一键爆账号密码。
根据题目提示,这次要爆的是www.test.ichunqiu的站点。
工具果然是简单粗暴,直接就爆出来。为什么这个工具这么暴力不知道,原理也不清楚,反正省了不少事情了。
猜测用户名应该是:ichunqiu,密码应该是adab29e084ff095ce3eb
接下来就是找到网站的后台登录地址了。猜测了几个常见的目录:dede、admin、dedeadmin都不对,直接上御剑爆一下试试吧。
i春秋提供的工具可以说是相当丰富了。
打开御剑果然爆出来了几个目录
但是经过测试,没有一个是正确的后台目录,在这里卡了很久,猜测应该是修改了一个很冷门的名字。于是开启度娘模式,发现了一种方法,参考链接:解决DEDECMS历史难题–找后台目录
但是因为实验环境和互联网是不通的,所以就不能把python脚本传进去,所以还需要用其他方法来查找后台目录。最终在网上看到可以通过mysql_error
信息查找后台目录。参考链接:mysql_error_trace.inc 后台地址_DedeCMS下data日志mysql_error_trace.inc暴露后台地址
于是试了一下,/data/mysql_error_trace.inc,访问不了,应该是已经修复了,
然后又查了很久资料,发现还可以访问/data/mysqli_error_trace.inc试一下,有戏
看报错信息给出了一个页面/lichunqiu1/article_keywords_main.php,尝试访问一下
果然是dedecms熟悉的登录页面,输入账号ichunqiu,密码登录一下试试。居然登录不了,猜测这个“adab29e084ff095ce3eb”应该是密码的MD5值,但是位数又不够32位,也不是16位的。那么还是继续问度娘吧
经过查资料发现原来是先对密码进行MD5计算,然后再取MD5值的6-25位,参考链接:dedecms教程:20位MD5加密密文解密示例介绍
我们的16位MD5值是取的32位MD5值中的9-24位,参考链接:MD5 加密后的类型(16位大、16位小、32位大、32位小)
那么就是说对:adab29e084ff09ce3eb,去掉前三位,去掉最后一位,就是密码的16位MD5值。直接拿“b29e084ff095ce3e”到cmd5去爆一下,居然要付费,换网站,pmd5可以爆出来是only_system
拿这个密码去登录一下后台试一下,果然成功了。
接下来就是该考虑怎么上马了,在后台-模板管理-标签源码管理,可以直接写一句话木马。写好后保存修改,例如我修改的是adminname.lib.php
那么访问地址就是/include/taglib/adminname.lib.php,直接上菜刀连接就好了。
另外一种方式可以在系统-系统基本参数-附件设置中修改可以上传的附件文件类型,添加php类型,这样就可以直接上传一个写好的一句话木马。
木马上传成功后可以直接访问,用菜刀连上直接干。
但是根据题目提示应该是要找到一个flag文件,常见的目录下边都找了一下,找不到带有flag字样的文件,只能开命令行找了。
这里需要用到for命令,只能临时学临时用了,参考链接:Windows命令行(cmd)下快速查找文件(类似Linux下find命令)
直接在命令行里输入
for /r C:\ %i in (*flag*) do @echo %i
原来是放在了administrator的桌面下边,好了,本以为到此就大功告成了,直接去type一下就好了嘛,居然是拒绝访问,想来应该是设置了访问权限设置,先查看一下当前用户,是system,那么只有上cacls命令了。参考链接:Windows dos命令cacls和Icalcs
cacls flag~ichunqiu.txt /E /P SYSTEM:F /C
然后type 一下直接就看到了文件内容了。
222
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
