本題鏈接為http://cms.nuptzj.cn/。打開網(wǎng)址是一個(gè)類似留言板的界面。
0x00 網(wǎng)站大致結(jié)構(gòu)
使用首頁(yè)的搜索功能挺益,會(huì)發(fā)現(xiàn)一個(gè)頁(yè)面so.php。查看源代碼乘寒,發(fā)現(xiàn)了防注入與防xss的php文件望众。
在首頁(yè)最下方看見一個(gè)鏈接:本CMS說明,算是一個(gè)提示吧伞辛。此頁(yè)面給出了本網(wǎng)站的部分頁(yè)面名稱烂翰。
在about.php頁(yè)面的file參數(shù)可進(jìn)行本地文件包含,查看本頁(yè)面與部分其它頁(yè)面的源代碼蚤氏。
0x01 sql注入
通過在so.php頁(yè)面注入得到admin表中的賬號(hào)與密碼甘耿。參照antiingect.php與antixss.php,本網(wǎng)站對(duì)部分關(guān)鍵字與空格進(jìn)行了繞過竿滨,因此對(duì)于關(guān)鍵詞使用雙重繞過佳恬,空格用/**/代替。
參照加密函數(shù)passencode.php于游,可以還原出密碼毁葱。
0x02 進(jìn)入后臺(tái)
由此文件可以猜到后臺(tái)入口為/loginxlcteam。
進(jìn)入后臺(tái)看到提示贰剥。
仍然利用about.php查看xlcteam.php头谜。此處也是一個(gè)比較有趣的php后門。
后門介紹詳見https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html
使用菜刀連接鸠澈,查看系統(tǒng)中的文件柱告,可以得到flag。
0xEmmmmmm后門的使用
http://cms.nuptzj.cn/xlcteam.php?www=preg_replace
POST數(shù)據(jù):wtf=phpinfo();
