my first cms
这题涉及一个CVE,CVE-2024-27622,链接:GitHub - capture0x/CMSMadeSimple
在github中的介绍,使用该CVE应该首先是以管理员身份登录的
我们可以找到登录位置,进入登录页面
由于没有任何提示可以猜测是弱口令,咱们在BP上爆破(你得有个好字典,我个憨批就是因为字典没爆破出来)合理猜测username是admin,咱们对password爆破可以得到密码是Admin123
拿到密码登录进去,找到User Defined Tags,进入User_agent我们去执行rce
先来个system('ls');助助兴吧(记得写入命令要先apply再run!!!)
好像没啥有用的(在我眼里),接着往上一级目录去翻找,在咱们得不懈努力下发现了一个亮眼的东西 (此时的执行代码为system('ls ../../../../');)
再来个咱最拿手的cat命令去读取flag, system('cat ../../../../_fffff1@g'); 成功拿到哈
attack_tacooooo
根据题目和提示信息,推断出邮箱即为tacooooo@qq.com 登录密码为tacooooo
可以看到页面中提示,pgAdmin版本是8.3
这里附上NKCTF官方wp给的参考文章链接:pgAdmin (<=8.3) 会话处理中的路径遍历会导致不安全的反序列化和远程代码执行 (RCE)