题目地址:https://www.ichunqiu.com/experiment/detail?id=50679&source=1&otype=1
本次实验要求获取www.test.ichunqiu网站的FLAG信息。
这个环境有个大坑,导致在使用菜刀连接shell这一步几乎花了一个星期时间才成功。
首先打开试验环境,在试验环境中打开浏览器,可以看到这次要攻破的系统是XDCMS
百度搜索了一下,这个cms系统比较老了,有多处存在SQL注入漏洞。
参考链接:http://foreversong.cn/archives/709
这次我们利用在会员注册页面存在一个的SQL注入漏洞,在注册过程中sql错误回显信息会一闪而过,需要用burpsuite抓包查看报错内容。
开启Burpsuite,并配置好浏览器代理。
在用户名处填写注入语句:
‘ UNION SELECT 1,2,3,4,5,6,7,8,9,10,11,12,13,14 FROM (SELECT
count(1),concat(round(rand(0)),(SELECT concat(username,0×23,password) FROM
c_admin LIMIT 0,1))a FROM information_schema.tables GROUP by a)b#
拿到注入报错回显信息
从这里可以看出来管理员用户名是xdcms121
密码的MD5值是1be20cb2907edca1e4f55f375a5663f1
找个MD5网站去爆一下,得到密码是xdcms212
拿到了后台账户密码后就是找后台登录路径了,先随便试几个,没想到是如此简单,就是admin
打开后台登录页面输入用户名密码,成功进入后台
接下来就是传shell上去了,网上搜了一些,可以在网站配置信息中直接写一句话木马,但是经过多次尝试写入shell后网站就打不开,需要重置试验环境,最终在网上发现了xdcms还存在一个文件包含漏洞,需要先上传一个图片马到后台,上传地址是:/system/function/upload.inc.php
但是上传的时候经过多次尝试有后台过滤,所以需要上传一个图片马,然后用文件包含的漏洞去访问,用notepad++打开一张图片,然后在图片尾部插入一句话木马
将此文件上传到服务器,因为在网页上不显示保存路径,所以需要burpsuite抓包查看保存路径。
上传图片马成功后回到首页尝试用文件包含漏洞访问图片,可以看到页面报错信息,注意此处使用了m=…/…/uploadfile,是因为需要穿越路径
能看到是在后边拼接了/index.php,那么我们尝试使用%00截断的方式来访问
果然访问成功,将图片当成了php文件来解析
那么就该上菜刀了。
顺利拿到flag
试验中注意一句话木马,一定要写的越简单越好,不是awd比赛中,只要能连上shell即可,在试验中有很长一段时间试了写稍微复杂一点的一句话木马都不能连接,但是phpinfo函数能解析,能看到phpinfo信息,在这一步差不多卡了有一周左右,最终再回到试验环境在i春秋提供的工具包里有个一句话木马拿出来用了,就是图中显示的那个最简单的一句话木马,直接复制粘贴过去才正常连接了shell。
5067
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
