本题链接为http://cms.nuptzj.cn/。打开网址是一个类似留言板的界面。
0x00 网站大致结构
使用首页的搜索功能,会发现一个页面so.php。查看源代码,发现了防注入与防xss的php文件。
在首页最下方看见一个链接:本CMS说明,算是一个提示吧。此页面给出了本网站的部分页面名称。
在about.php页面的file参数可进行本地文件包含,查看本页面与部分其它页面的源代码。
0x01 sql注入
通过在so.php页面注入得到admin表中的账号与密码。参照antiingect.php与antixss.php,本网站对部分关键字与空格进行了绕过,因此对于关键词使用双重绕过,空格用/**/代替。
参照加密函数passencode.php,可以还原出密码。
0x02 进入后台
由此文件可以猜到后台入口为/loginxlcteam。
进入后台看到提示。
仍然利用about.php查看xlcteam.php。此处也是一个比较有趣的php后门。
后门介绍详见https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html
使用菜刀连接,查看系统中的文件,可以得到flag。
0xEmmmmmm后门的使用
http://cms.nuptzj.cn/xlcteam.php?www=preg_replace
POST数据:wtf=phpinfo();
