i春秋 “百度杯”CTF比赛 九月场 YeserCMS

https://www.ichunqiu.com/battalion?t=1

首先说明一点，这题怒是我自己做出来的，我参考了很多博主的writeup，但是他们的writeup只是提示我应该去利用什么漏洞：

https://www.w00yun.top/bugs/wooyun-2015-0137013.html

虽然知道了是这个漏洞，但是我不会利用，在这上面耗了很长时间，因为我直接把漏洞报告中的postdata数据给提交上去了，但是i春秋的好像更改了cmseasy，所以我们并不需要对注入语句二次编码，只要把'进行编码即可:

xajax=Postdata&xajaxargs[0]=><q>detail=xxxxxx%27,(UpdateXML(1,CONCAT(0x5b,substring((SELECT/**/GROUP_CONCAT(username,password) from yesercms_user),1,80),0x5d),1)),NULL)-- q>xjxquery>

查询语句是：

substring((SELECT/**/GROUP_CONCAT(username,password) from yesercms_user),1,80)

只需要更改1和80就可以更改显示字符串的起始位置和终止位置，因为显位有限，所以我们只能一节一节地看，得到用户名和md5加密之后的密码我们就可以登录后台了，直接在网站URL后面加上admin即可，在里面的编辑模板有文件读漏洞，使用burpsuit可以查看到任意文件