第一次接触CTF这种东西,看到老大发了一个CTF连接,想尝试一下。
webflag.PNG
拿到手看了看这有点像PHP代码,这个if判断优先计算1000-778 < ?,左边等于222,小于右边的谁?问号的地方只能输入一个字符?console.PNG
把maxlength值改一下,或者去掉,输入比222大的数字(估计PHP做了if,不能输入其他字符)得到flag。
flag.PNG


打算这周从ichunqiu的练习入手,先来看看界面。
ichunqiu
左上角提示有几个实验工具供我们使用,菜刀、net.exe、dedeCMS,按照提示先去下载需要的工具
ichunqiu02.jpg
直接使用提供的工具进行爆破
ichunqiu03.jpg
我们已经得到帐号密码,但是密码已经加密,而且长得很奇怪(在这里已经跌过几次),先来了解一下dedecms密码加密方式

$password = $row['pwd'];
$pwd = substr($password, 5, 20);

它采取md5加密(从网上搜索来看好像是32位),这段PHP代码使用字符串截取函数,返回第6位开始长度为20位的字符串(第一位是从0开始数而不是1)。拿我们的密码来解释一下abab29e084ff095ce3eb,这是经过函数处理后的密码,也就是说他的前面还有6位被截掉xxxxxxabab29e084ff095ce3ebxxxxxx(我们用x代替被剔除字符串),
从第6位开始为第一位取到第20位停止那么就是我们现在的密码abab29e084ff095ce3eb

我们知道了加密方式后怎么解密呀.....别急慢慢说。它的方法是前面减去3位,后面减去1位。现在剩下16位的md5就可以拿去解密了,下面是另外的情况做个补充。

dedecms首先获得某密码的32位MD5加密值,然后去掉后面8位,这 样,拿剩下的24位来做为密码的加密值.这里我们可以想到,32位转16位可以把32位的前8位和后8位去掉,剩下的中间就是其16位的加密值,于是,我 们可以把dedecms中暴出来的那窜24位加密值的前8位去掉,剩下的16位就可以拿去破解了

ichunqiu04.jpg

接下来我们只需要找到后台让马儿奔跑起来。扫了下后台没有发现入口
ichunqiu05.jpg

网上搜索了一下dedecms爆后台得到以下信息

/robots.txt
/data/admin/ver.txt
/data/mysql_error_trace.inc
/data/mysql_error_trace.inc 爆出来补

robots.txt是无望了,搜到一篇文章

有了用户名和密码,但是不知道后台地址,如何找后台路径?
dedeCMS漏洞:mysqli_error_trace.inc 文件里会残留后台路径。
dedeCMS目录中的data/mysqli_error_trace.inc文件,是记录数据库出> 错信息。一般是用于网站存在错误,系统自动记录在该文件中,进一步说,就是> 该文件是记录sql错误信息的文件,类似于日志功能,关键是它会记录后台路径。

ichunqiu07.jpg

我想是不是数据库进行连接的拓展更换了所以文件名不一样

本扩展自 PHP 5.5.0 起已废弃,并在自 PHP 7.0.0 开始被移除。应使用 MySQLi 或 PDO_MySQL 扩展来替换之

robots

用我们解出来的密码登录。
ichunqiu09.jpg
找到一个上传点,为了安全一般默认是不能让你上传其他文件的,admin管理员应该有权限进行修改配置。
ichunqiu10.jpg
ichunqiu11.jpg
看来不做处理真的无法上传,上传有个提示,可以让我们的马儿开心起来。
ichunqiu12.jpg
ichunqiu13.jpg
直接用菜刀连接传一个cmd上去
ichunqiu14.jpg
用传的cmd连接
ichunqiu15.jpg
访问桌面上的flag文件居然会拒绝访问(没有权限)
ichunqiu16.jpg
用whoami查看一下当前账户(system账户待补充)
ichunqiu17.jpg
拒绝访问应该是权限不够,用cacls filename查看一下
ichunqiu18.jpg
权限应该是可以设置的cacls不知道怎么用,后面跟个/?查看一下帮助文档
ichunqiu19.jpg
cacls filename /G system:F 可以修改权限但是需要确认,shell中无法输入Y这就很尴尬了,百度了方法,可以不用输入确认。先用cacls filename /E /G system:F编辑ACL进行授权。
ichunqiu20.jpg
授权成功读取flag
ichunqiu21.jpg
其他方式待补充

引用来源:dedecms解密 dedecms寻找后台 Writeup Writeup2 Cacls无需确认的正确写法

标签: none

讨论讨论讨论!