0x00 前言 本题算是一道较为综合的渗透题,要求对两个服务器系统进行渗透,第一个是基于齐博 CMS 的信息资讯平台 http://www.test.ichunqiu ,第二个是基于 Discuz! 的论坛社区 http://bbs.test.ichunqiu 。这两个 CMS 同样能在网上找到许多漏洞,常用作渗透测试的练习靶机。 根据提示,第 1 题要求找到咨询平台的管理员账号密码;第 2 题需要登录服务器后台,并插入木马,再用中国菜刀连接,继而找到在管理员桌面上的 flag 文件;第 3 题要求在论坛社区的数据库中找到 admin 账户的 salt 值。
0x01 获取 www.test.ichunqiu 后台登录密码 利用 SQL 报错注入是获取管理员账号密码的常见方法。在浏览器搜索齐博 CMS 的可利用漏洞,其中发现了一个 SQL 报错注入漏洞,在 /member/special.php 中的 $TB_pre 变量未初始化,未作过滤,且直接与代码进行拼接,注入发生后可在报错信息中看到管理员的账号密码。详情可参考:
齐博CMS整站系统SQL注入
下面打开 Firefox 浏览器,根据漏洞说明先任意注册一个账号: 登录后点击 会员中心 -> 专题管理 -> 创建专题,任意创建一个专题: 点击专题名称,在弹出的专题页面中查看其 URL,并记录下 id 值(此处 id=27 ): 接下来访问 http://www.test.ichunqiu/member/special.php ,并打开 HackBar 工具,按照漏洞报告中的格式填写好 URL 和请求数据。URL 的查询字符串填入 job=show_BBSiframe&id=27&type=all (注意 id 值要等于上述专题 ID),请求数据填入 SQL 报错注入的 payload:
小贴士:为了方便使用 HackBar,可在浏览器右上角点击 菜单 -> 定制,将 HackBar 拖到工具栏中。
从报错信息中得知管理员账号为 admin ,密码的哈希值只有 26 位,因此修改一下 payload 的输出值,再次注入,便可看到完整的密码哈希值为 b10a9a82cf828627be682033e6c5878c : |