线下赛，发现这次有两个web都是CMS系统，赛后希望自己加强CMS漏洞的研究，还有学写脚本学写脚本。比赛时挖到的几个洞，不懂写批量脚本，无法批量利用。手工利用别人有的已补上。学习学习在学习...
Joomsl

image.png

直接删除，在后台和源码上也做了一些安全策略，没丢分。

Finecms

一开始进后台改密码，然后做一些安全策略，后进行代码审计，过滤敏感字符，防住了一大波攻击，后在上传头像处发现了任意上传漏洞，查看源码发现

image.png

于是我对上传做了过滤，防住了一些攻击，后面被种了木马，我删除后，修改了其路径，使其用菜刀连不上。

Starplus

除此之外感觉还有一个文件上传的漏洞，连续被搞了好几轮，以为是上传漏洞，可补上之后还一直丢分，在网站自己的日志中也没发现什么记录，就感觉是代码执行漏洞，就一直从文件网站入口的代码去找，在入口处输出账号密码处发现了类似一句话的代码，直接将其删除后出现了宕机，失了几分，于是我立马把原本的代码恢复，后面发现了一个反序列化漏洞，可以进行命令执行，在test.php里面，在最后几轮才发现漏洞，补上。才开始正常。漏洞源码如下

image.png

提权方面一直没做好，只有user权限，无法挂waf，无法查看日志。