一共要获得三个信息,第一个是www.test.ichunqiu的后台管理员密码,第二个是系统管理员桌面上的flag文件内容,第三个是bbs.test.ichunqiu论坛数据库中管理员的SALT值。
齐博CMS…看版本号是v7整站CMS,先去齐博官网下了套源码,然后搜索这个CMS的已公开漏洞并逐一尝试,发现有一个任意文件下载漏洞可以成功,不过漏洞中所提到的sql注入似乎没法实现(也许是因为操作失误…)。
同时,发现扫描工具扫出来一些可疑的文件,结合上面的漏洞下载下来,发现根目录下的2.phpwebshell(应该是出题人为降低难度设置的。。。正确做法应该还是通过sql注入获取到管理员密码再从后台getshell)…、
菜刀连上之后,将网站目录对比官网下的源码目录,发现了一个dede的备份目录。找到数据库连接配置文件,用菜刀连接数据库,得到管理员密码md5哈希值,在md5库中查询得到管理员明文密码。
这个系统中php的权限比较高,不需要提权,直接找到文件夹读取文件。
]
访问bbs.test.ichunqiu,发现是Discuz!X3.1 ,搜索后没有发现什么好利用的漏洞。
联想到之前www.test.ichunqiu(172.16.12.2)上有一个dede的bak目录,查找后发现了bbs.test.ichunqiu(172.16.12.3)的数据库账号密码。
#递归寻找当前目录下所有含有“172.16.12.3”字符串的文件findstr /s 172.16.12.3 *
然后使用数据库连接工具连接数据库,搜索可知Discuz!的管理员账号加密方式是先将明文密码md5加密,然后随机生成SALT,再将SALT和md5哈希值连接再进行一次md5加密。其中生成的SALT值存储在ultrax数据库中的pre_ucenter_members表内。
因为mysql账号为root,所以可以读取系统文件、上传文件,应该是可以拿下服务器权限的。
