CMS系统漏洞分析溯源(第6题)

CMS系统漏洞分析溯源(第6题)

靶场为mozhe中的靶场

访问靶场地址
博客页面找到2个用户名

mozhe666
mozhe777
1
2

目录扫描工具扫到后台

后台是个带验证码的页面

这个靶场忘记密码这个功能是不存在，登陆输入框尝试sql注入失败

多次重发同一个包，发现一直提示密码错误，请重新输入。并没有提示验证码错误，说明存在验证码可以共用的漏洞。尝试弱口令爆破上面2个用户

先爆破出mozhe666，密码admin888

登录后台，写文章的功能试了试好像写不了马

爆破mozhe777，同样也是弱口令qwer1234

登录后台，这个功能是真的多应该是管理员

首先发现了一个上传功能，想传马尝试下没能绕过

又发现了一个数据库功能，想利用sql语句into outfile直接传马

先备份数据库导出sql文件，在最后加入

Drop TABLE IF EXISTS tpashell;
Create Table tpashell(`cmd` longtext NOT NULL);
Insert INTO tpashell VALUES('');
Select cmd from tpashell into outfile '/var/www/html/shell.php';
Drop TABLE IF EXISTS tpashell;
1
2
3
4
5

重新导入本地备份

更新缓存

哥斯拉连下，拿下flag