i春秋在线挑战详细攻略-《你是会员吗》

i春秋在线挑战详细攻略-《你是会员吗》_第1张图片

 

试验地址:http://www.ichunqiu.com/racing/54399

实验平台:i春秋

 

Step 0

实验环境

操作机:Windows XP [172.16.11.2]

目标网址:www.test.ichunqiu  [172.16.12.2]

实验工具:中国菜刀

实验目标:获取www.test.ichunqiu网站的FLAG信息,学习一些简单的提权方式。

小i提示:

在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。

在实验环境中无法连接互联网,请使用您本地的网络环境。

 

Step 1

XDCMS

首先利用注入漏洞获取用户名和密码;打开浏览器,输入网址,打开网站首页,点击页面上方的 [ 免费注册 ];


i春秋在线挑战详细攻略-《你是会员吗》_第2张图片

进入注册页面后,依次填入表单内容;
i春秋在线挑战详细攻略-《你是会员吗》_第3张图片

在提交之前,配置浏览器代理,操作步骤:[ 工具 ]-->[ Internet选项 ]-->[ 连接 ]-->[ 局域网设置 ]:
i春秋在线挑战详细攻略-《你是会员吗》_第4张图片

打开神器进行抓包改包;工具路径:C:\Tools\抓包改包\Burp Suite\
i春秋在线挑战详细攻略-《你是会员吗》_第5张图片

打开神器后,回到浏览器页面,点击 [ 注册 ];
i春秋在线挑战详细攻略-《你是会员吗》_第6张图片

此时,BP抓包成功:
i春秋在线挑战详细攻略-《你是会员吗》_第7张图片

注意POST参数中的username值,在该值后面加入exp:
i春秋在线挑战详细攻略-《你是会员吗》_第8张图片

然后点击 [ Action ] 或者右键,在弹出的菜单中选择 [ Send to Repeater ]:
i春秋在线挑战详细攻略-《你是会员吗》_第9张图片

待 [ Repeater ] 标签变色后,选择该选项卡,点击左侧请求页面的 [ GO ],右侧响应页面会爆出用户名和密码MD5值:
i春秋在线挑战详细攻略-《你是会员吗》_第10张图片

把MD5值 [ 1be20cb2907edca1e4f55f375a5663f1] 扔到解密网站上,得到结果,顺便看到了加密方式:
i春秋在线挑战详细攻略-《你是会员吗》_第11张图片

Step 2

打开后台登录界面,准备挂马,后台用路径扫描工具一扫就出来了,这里就不截图了;

后台路径:www.test.ichunqiu/admin
i春秋在线挑战详细攻略-《你是会员吗》_第12张图片

输入得到的用户名和密码 [ xdcms121/xdcms212 ],成功登录后台:
i春秋在线挑战详细攻略-《你是会员吗》_第13张图片

依次进入 [ 模块管理]-->[ 幻灯片管理 ]-->[ 管理幻灯 ]-->[编辑 ];
i春秋在线挑战详细攻略-《你是会员吗》_第14张图片

进入编辑页面后,准备上传木马;在系统自带的图片中,随便选一张:


i春秋在线挑战详细攻略-《你是会员吗》_第15张图片
 

选一张图片复制到桌面上,然后新建一个文本文档,里面写入一句话木马:


i春秋在线挑战详细攻略-《你是会员吗》_第16张图片
 

(注意:一句话之前加空行)

然后用cmd下的copy命令,将这两个文件合并成一个图片文件:

Copy Sunset.jpg/b + muma.txt/a result.jpg /y



i春秋在线挑战详细攻略-《你是会员吗》_第17张图片
 

用记事本打开合成的图片文件,拉到最下面,可以看到木马已经加进去了;


i春秋在线挑战详细攻略-《你是会员吗》_第18张图片
 

回到页面,点击上传幻灯片图片,将制作的木马图片上传上去:


i春秋在线挑战详细攻略-《你是会员吗》_第19张图片
 

把图片路径复制下来,点击 [ 保存 ];


i春秋在线挑战详细攻略-《你是会员吗》_第20张图片
 

Step 3

利用文件包含连接菜刀;

工具:中国菜刀,路径:C:\Tools\webshell\中国菜刀


i春秋在线挑战详细攻略-《你是会员吗》_第21张图片
 

点击右键,选择 [ 添加 ],首先我们在地址栏中输入错误的路径,看看会出现什么结果:


i春秋在线挑战详细攻略-《你是会员吗》_第22张图片
 

输入完成后,点击 [ 添加 ];


i春秋在线挑战详细攻略-《你是会员吗》_第23张图片
 

双击后,显示如下结果,注意图示:


i春秋在线挑战详细攻略-《你是会员吗》_第24张图片
 

我们发现,后面自动添加了/index.php,这样路径肯定是错的,用%00截断后面的附加值即可;在原路径的基础上,尾部添加%00即可;


i春秋在线挑战详细攻略-《你是会员吗》_第25张图片
 

这次成功进入,得到旗标。


i春秋在线挑战详细攻略-《你是会员吗》_第26张图片
 

最后说一下菜刀路径中的几个注意点:

[url]http://www.test.ichunqiu/index.php?m=../../uploadfile/image/2017........5030.jpg%00[/url]

 

路径中的 m=?  c=?  f=?  这三个参数分别表示:模块,类,方法;具体位置在/system/function/global.inc.php文件中:

//接收参数
$m=safe_replace(safe_html(isset($_GET["m"]))) ? safe_replace(safe_html($_GET["m"])) : "content";
$c=safe_replace(safe_html(isset($_GET["c"]))) ? safe_replace(safe_html($_GET["c"])) : "index";
$f=safe_replace(safe_html(isset($_GET["f"]))) ? safe_replace(safe_html($_GET["f"])) : "init";
//判断模块是否存在
if(!file_exists(MOD_PATH.$m)){
        showmsg(C('module_not_exist'),'/');
}
//判断类文件是否存在
if(!file_exists(MOD_PATH.$m."/".$c.".php")){
        showmsg(C('class_not_exist'),'/');
}
include MOD_PATH.$m."/".$c.".php";   //调用类
//判断类是否存在
if(!class_exists($c)){
        showmsg(C('class_not_exist'),'/');
}
$p=new $c();  //实例化
$p->$f();   //调用方法

 

 

global.inc.php文件位置在根目录/system/function下,uploadfile直接在根目录下,所以得向上翻两级,也就是../../


i春秋在线挑战详细攻略-《你是会员吗》_第27张图片

--END--

ps:部分知识点的内容转自网络;路漫漫其修远兮,感谢小盆友们的帮助;

Dareand the world always yields.

转载于:https://my.oschina.net/ichunqiu/blog/858959

你可能感兴趣的:(php)