本文介绍了GKCTF2021中easycms挑战的两种解决方法:一是利用任意文件下载漏洞获取flag;二是通过文件上传漏洞实现代码执行。详细步骤包括登录后台、利用设计模块进行文件操作等。
[GKCTF 2021]easycms
URL加后缀admin.php进入登陆界面
题目提示了密码是五位弱口令,那就admin/admin或者admin/12345尝试
登录进去以后有两种方法
一. 任意文件下载
设计——自定义——导出主题——保存
下载下来的文件右键复制下载链接
http://cfc147be-ed41-45fc-a12f-672318d14a4f.node4.buuoj.cn:81/admin.php?m=ui&f=downloadtheme&theme=L3Zhci93d3cvaHRtbC9zeXN0ZW0vdG1wL3RoZW1lL2RlZmF1bHQvMTIuemlw
最后是一串base64编码,解密后是/var/www/html/system/tmp/theme/default/12.zip而且是文件的绝对路径,我们直接包含/flag就可以了,base64加密一下成为L2ZsYWc=
payload:
http://cfc147be-ed41-45fc-a12f-672318d14a4f.node4.buuoj.cn:81/admin.php?m=ui&f=downloadtheme&theme=L2ZsYWc=
二. 文件上传
设计——自定义——首页——编辑,选择php源代码
保存的时候要我先创建一个cksj文件,这个文件名是每个人不一样的。
设计——组件——素材库——上传素材
先上传一个txt文件然后编辑它的名称,改成…/…/…/…/…/system/tmp/cksj
然后回去编辑php代码
返回网站首页得到flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
