本题链接为http://cms.nuptzj.cn/。打开网址是一个类似留言板的界面。

0x00 网站大致结构

使用首页的搜索功能，会发现一个页面so.php。查看源代码，发现了防注入与防xss的php文件。

在首页最下方看见一个链接：本CMS说明，算是一个提示吧。此页面给出了本网站的部分页面名称。

在about.php页面的file参数可进行本地文件包含，查看本页面与部分其它页面的源代码。

0x01 sql注入

通过在so.php页面注入得到admin表中的账号与密码。参照antiingect.php与antixss.php，本网站对部分关键字与空格进行了绕过，因此对于关键词使用双重绕过，空格用/**/代替。

参照加密函数passencode.php，可以还原出密码。

0x02 进入后台

由此文件可以猜到后台入口为/loginxlcteam。

进入后台看到提示。

仍然利用about.php查看xlcteam.php。此处也是一个比较有趣的php后门。

后门介绍详见https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html

使用菜刀连接，查看系统中的文件，可以得到flag。

0xEmmmmmm后门的使用

http://cms.nuptzj.cn/xlcteam.php?www=preg_replace

POST数据：wtf=phpinfo();