「百度杯」CTF比賽 九月場 YeserCMS

打開題目

進入後是一個cms，但確定的是這個cms不叫yesercms

因而咱們開始隨便翻翻，尋找信息，後臺我也看了除了一個登錄界面，就沒有其餘的提示信息。

最後在文檔下載的評論欄裏發現，這個cms的真正名稱是cmseasy。

上網去查cmseasy的漏洞

而後大體查了下應該是sql注入漏洞

因而構造報錯注入測試一下

回顯內容，還告訴了咱們這個sql語句的完整內容，總共3個字段，其實後面的NULL均可以不要了

接下來拿表名，由於表名一好幾個用group_concat發現updataxml只可以返回32字節，因而顯示不全

而後尋思着用limit，結果40多條表，要輸40屢次，幸虧不是上千條。。。。。

想着有沒啥更快捷的方法（本人sql語句學的差呀）

而後查到了mid函數，雖然也沒有提高多快，可是畢竟一次能夠顯示1條半的數據（充分利用32個字符）

語法  mid(字符串,起始位置[,顯示長度])

用mid結合起group_concat來進行對整個表的瀏覽。

每次起始位置+31，大概20屢次就能把全部表查完

emmm明顯咱們有用的表示後面2個，進去看看

 

usergroup裏面的內容

 

user裏面的內容（仍是太長了，用mid每次剪切）

明顯咱們要的是管理員的帳號

而後再看uer表裏面有幾行，結果只有1行，那麼確定就是管理員了

咱們只要username和password

返回內容

 

 後面是個HASH，估計是MD5加密，去解下密（絕了以前那個md5解密網站要錢了。。。）

http://www.dmd5.com/md5-decrypter.jsp貼個網站，ophcrack官網太慢了

好了，咱們能夠愉快的登錄後臺了

http://2288dc3709514c708665247af0070463ee7275a18d124db6.game.ichunqiu.com/index.php?case=admin

進去後,找不到上傳點,在模板一塊發現能夠看部分的源碼，那麼咱們想的是在瀏覽源碼的時候返回flag.php

在打開源碼前須要點擊編輯按鈕，抓下點擊編輯按鈕時的包

這個id是文件名，那麼咱們要找到flag.php就須要路徑到根目錄下

這裏我不知道目前路徑是在哪裏了，就一級一級的往回退，退了2級目錄後發現有回顯內容了

 

 總結：在找是什麼CMS的時候，真的要細心，並且這個SQL報錯注入漏洞，只能用別人已經發現的，本身根本不可能審計出來。。。。最後的改包，不是看writeup根本就想不到。雖然此次主要仍是練習了報錯注入的幾個方法。

路雖遠，行則必達。