网站是齐博CMS V7.0
1.要求获得管理员密码:
利用齐博CMS V7.0 SQL爆破注入漏洞即可得到管理员用户名密码
https://www.cnblogs.com/vspiders/p/7399088.html
2.要求获得服务器管理员桌面的flag:
利用齐博CMS V7.0 后台getshell
https://www.uedbox.com/post/41188/
3.bbs.test.ichunqiu数据库中admin的salt值
第 3 题终于引入了
http://bbs.test.ichunqiu 论坛社区的数据库了。出题人好像为了方便我们直接进行本题,特意在主站根目录下放了木马 /2.php,免去了上题插入木马的过程:
.png)
所以下次想直接复现第 3 题,用菜刀连上此木马即可:
.png)
我们在根目录下可看到 /dedecms_bak 的文件夹,进一步搜索到 DEDECMS 的
默认数据库配置文件为 /data/common.inc.php,打开一看,果不其然:
.png)
打开主机终端,用 nslookup 命令可得到论坛的 IP 地址就是 172.16.12.3,顺便可看到主站的 IP 地址为 172.16.12.2:
.png)
注意到数据库配置信息中是根用户权限,因此若能连上 DEDECMS 在 172.16.12.3 上的数据库,那么 Discuz! 在 172.16.12.3 上的数据库也能被访问到!于是,在菜刀 添加SHELL 的配置中填入数据库信息:
.png)
保存设置后右键条目,选择 数据库管理,成功连接后可见服务器端的数据库管理界面:
.png)
又经过一番搜索,得知 ultrax 正是 Discuz! 的数据库,而 dedecms 显而易见是 DEDECMS 的。我们的目标应该是 ultrax 数据库中某个表的 salt 字段。
因此,只要输入一条简单的 SQL 语句,点击 执行,有关 salt 字段的所有信息将会呈现:
SELECT * FROM COLUMNS WHERE COLUMN_NAME = 'salt'
.png)
最终我们在 ultrax 数据库的 pre_ucenter_members 表中发现了 salt 字段的值为 9b47b6:
.png)
到此为止,本次渗透测试的指定任务已达成。
意犹未尽的各位看官可接着往下看,既然我们把 172.16.12.3 上的数据库给爆了,那也趁此机会,不妨把 172.16.12.2 上的数据库也给爆了。经过搜索后发现,齐博 CMS 的
默认数据库配置文件为 /data/mysql_config.php:
.png)
然后在菜刀 添加SHELL 的配置中修改数据库信息:
.png)
成功连接后,在 qibov7 数据库的 qb_members 表中发现第 1 题中管理员的账号与密码哈希值:
.png)
至此,本题两个服务器中的
数据库系统已被我们打穿。