一直誤以為是二次注入,看了別人wp,自己梳理了一遍
首先打開題目頁面
先注冊一個賬號
注冊成功(注意這個UID)
然后注意下包,發現cookie中的user很可疑,是一串md5值,我們可以推測是我們注冊的賬號的md5,但是實際上是的格式是 UID:用戶名
驗證一下 格式是 UID:用戶名
登入之后,點擊可以personal看到自己的信息
那么我們抓包,把cookie改成admin的會怎么樣,注意上面的UID也要修改成1
4b9987ccafacb8d8fc08d22bbca797ba是 1:admin的md5加密值
存在邏輯漏洞,成功越權
有了這些,我們就可以直接admin的密碼了,返回首頁修改密碼,之后以管理員的身份進去,點擊manage
IP不允許,那么我們進行ip偽造,修改XFF頭
成功進去了,但是flag不在
看一下源碼,do不知道,filemanage文件管理,增刪改查?
挨個試一下,發現是upload,文件上傳
http://111.198.29.45:45187/index.php?module=filemanage&do=upload
大概要上傳一句話木馬來控制,之后就是繞過姿勢,和諧了文本里面的PHP,只檢查后綴名和content-type
直接上傳就可以得到flag,連用菜刀都省略了
