i春秋在線挑戰詳細攻略-《你是會員嗎》

試驗地址：http://www.ichunqiu.com/racing/54399

實驗平臺：i春秋

Step 0

實驗環境

操作機：Windows XP [172.16.11.2]

目標網址：www.test.ichunqiu  [172.16.12.2]

實驗工具：中國菜刀

實驗目標：獲取www.test.ichunqiu網站的FLAG信息，學習一些簡單的提權方式。

小i提示：

在本次實驗中，請注意實驗工具、實驗文件存放路徑，不同的文件路徑可能會出現不一樣的實驗結果。

在實驗環境中無法連接互聯網，請使用您本地的網絡環境。

Step 1

XDCMS

首先利用注入漏洞獲取用戶名和密碼；打開瀏覽器，輸入網址，打開網站首頁，點擊頁面上方的 [ 免費註冊 ]；

進入註冊頁面後，依次填入表單內容；

在提交之前，配置瀏覽器代理，操作步驟：[ 工具 ]-->[ Internet選項 ]-->[ 連接 ]-->[ 局域網設置 ]：

打開神器進行抓包改包；工具路徑：C:\Tools\抓包改包\Burp Suite\

打開神器後，回到瀏覽器頁面，點擊 [ 註冊 ]；

此時，BP抓包成功：

注意POST參數中的username值，在該值後面加入exp：

然後點擊 [ Action ] 或者右鍵，在彈出的菜單中選擇 [ Send to Repeater ]：

待 [ Repeater ] 標籤變色後，選擇該選項卡，點擊左側請求頁面的 [ GO ]，右側響應頁面會爆出用戶名和密碼MD5值：

把MD5值 [ 1be20cb2907edca1e4f55f375a5663f1] 扔到解密網站上，得到結果，順便看到了加密方式：

Step 2

打開後臺登錄界面，準備掛馬，後臺用路徑掃描工具一掃就出來了，這裏就不截圖了；

後臺路徑：www.test.ichunqiu/admin

輸入得到的用戶名和密碼 [ xdcms121/xdcms212 ]，成功登錄後臺：

依次進入 [ 模塊管理]-->[ 幻燈片管理 ]-->[ 管理幻燈 ]-->[編輯 ]；

進入編輯頁面後，準備上傳木馬；在系統自帶的圖片中，隨便選一張：

選一張圖片複製到桌面上，然後新建一個文本文檔，裏面寫入一句話木馬：

（注意：一句話之前加空行）

然後用cmd下的copy命令，將這兩個文件合併成一個圖片文件：

Copy Sunset.jpg/b + muma.txt/a result.jpg /y

用記事本打開合成的圖片文件，拉到最下面，可以看到木馬已經加進去了；

回到頁面，點擊上傳幻燈片圖片，將製作的木馬圖片上傳上去：

把圖片路徑複製下來，點擊 [ 保存 ]；

Step 3

利用文件包含連接菜刀；

工具：中國菜刀，路徑：C:\Tools\webshell\中國菜刀

點擊右鍵，選擇 [ 添加 ]，首先我們在地址欄中輸入錯誤的路徑，看看會出現什麼結果：

輸入完成後，點擊 [ 添加 ]；

雙擊後，顯示如下結果，注意圖示：

我們發現，後面自動添加了/index.php，這樣路徑肯定是錯的，用%00截斷後面的附加值即可；在原路徑的基礎上，尾部添加%00即可；

這次成功進入，得到旗標。

最後說一下菜刀路徑中的幾個注意點：

[url]http://www.test.ichunqiu/index.php?m=../../uploadfile/image/2017........5030.jpg%00[/url]

路徑中的 m=?  c=?  f=?  這三個參數分別表示：模塊，類，方法；具體位置在/system/function/global.inc.php文件中：

//接收參數
$m=safe_replace(safe_html(isset($_GET["m"]))) ? safe_replace(safe_html($_GET["m"])) : "content";
$c=safe_replace(safe_html(isset($_GET["c"]))) ? safe_replace(safe_html($_GET["c"])) : "index";
$f=safe_replace(safe_html(isset($_GET["f"]))) ? safe_replace(safe_html($_GET["f"])) : "init";
//判斷模塊是否存在
if(!file_exists(MOD_PATH.$m)){
        showmsg(C('module_not_exist'),'/');
}
//判斷類文件是否存在
if(!file_exists(MOD_PATH.$m."/".$c.".php")){
        showmsg(C('class_not_exist'),'/');
}
include MOD_PATH.$m."/".$c.".php";   //調用類
//判斷類是否存在
if(!class_exists($c)){
        showmsg(C('class_not_exist'),'/');
}
$p=new $c();  //實例化
$p->$f();   //調用方法

global.inc.php文件位置在根目錄/system/function下，uploadfile直接在根目錄下，所以得向上翻兩級，也就是../../

--END--

ps：部分知識點的內容轉自網絡；路漫漫其修遠兮，感謝小盆友們的幫助；

Dareand the world always yields.