“百度杯”CTF比赛 九月场 YeserCMS

2018/06/13 17:45
阅读数 42

打开题目

进入后是一个cms,但肯定的是这个cms不叫yesercms

于是我们开始随便翻翻,寻找信息,后台我也看了除了一个登陆界面,就没有其他的提示信息。

最后在文档下载的评论栏里发现,这个cms的真正名称是cmseasy。

上网去查cmseasy的漏洞

然后大致查了下应该是sql注入漏洞

于是构造报错注入测试一下

回显内容,还告诉了我们这个sql语句的完整内容,总共3个字段,其实后面的NULL都可以不要了

接下来拿表名,因为表名一好几个用group_concat发现updataxml只能够返回32字节,于是显示不全

然后寻思着用limit,结果40多条表,要输40多次,幸好不是上千条。。。。。

想着有没啥更快捷的方法(本人sql语句学的差呀)

然后查到了mid函数,虽然也没有提升多快,但是毕竟一次可以显示1条半的数据(充分利用32个字符)

语法  mid(字符串,起始位置[,显示长度])

用mid结合起group_concat来进行对整个表的浏览。

每次起始位置+31,大概20多次就能把所有表查完

emmm明显我们有用的表示后面2个,进去看看

 

usergroup里面的内容

 

user里面的内容(还是太长了,用mid每次剪切)

明显我们要的是管理员的账号

然后再看uer表里面有几行,结果只有1行,那么肯定就是管理员了

我们只要username和password

返回内容

 

 后面是个HASH,估计是MD5加密,去解下密(绝了之前那个md5解密网站要钱了。。。)

http://www.dmd5.com/md5-decrypter.jsp贴个网站,ophcrack官网太慢了

好了,我们可以愉快的登陆后台了

http://2288dc3709514c708665247af0070463ee7275a18d124db6.game.ichunqiu.com/index.php?case=admin

进去后,找不到上传点,在模板一块发现可以看部分的源码,那么我们想的是在浏览源码的时候返回flag.php

在打开源码前需要点击编辑按钮,抓下点击编辑按钮时的包

这个id是文件名,那么我们要找到flag.php就需要路径到根目录下

这里我不知道目前路径是在哪里了,就一级一级的往回退,退了2级目录后发现有回显内容了

 

 总结:在找是什么CMS的时候,真的要细心,而且这个SQL报错注入漏洞,只能用别人已经发现的,自己根本不可能审计出来。。。。最后的改包,不是看writeup根本就想不到。虽然这次主要还是练习了报错注入的几个方法。

路虽远,行则必达。

 

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部