本題鏈接為http://cms.nuptzj.cn/。打開(kāi)網(wǎng)址是一個(gè)類似留言板的界面。

0x00 網(wǎng)站大致結(jié)構(gòu)

使用首頁(yè)的搜索功能，會(huì)發(fā)現(xiàn)一個(gè)頁(yè)面so.php。查看源代碼，發(fā)現(xiàn)了防注入與防xss的php文件。

在首頁(yè)最下方看見(jiàn)一個(gè)鏈接：本CMS說(shuō)明，算是一個(gè)提示吧。此頁(yè)面給出了本網(wǎng)站的部分頁(yè)面名稱。

在about.php頁(yè)面的file參數(shù)可進(jìn)行本地文件包含，查看本頁(yè)面與部分其它頁(yè)面的源代碼。

0x01 sql注入

通過(guò)在so.php頁(yè)面注入得到admin表中的賬號(hào)與密碼。參照antiingect.php與antixss.php，本網(wǎng)站對(duì)部分關(guān)鍵字與空格進(jìn)行了繞過(guò)，因此對(duì)于關(guān)鍵詞使用雙重繞過(guò)，空格用/**/代替。

參照加密函數(shù)passencode.php，可以還原出密碼。

0x02 進(jìn)入后臺(tái)

由此文件可以猜到后臺(tái)入口為/loginxlcteam。

進(jìn)入后臺(tái)看到提示。

仍然利用about.php查看xlcteam.php。此處也是一個(gè)比較有趣的php后門。

后門介紹詳見(jiàn)https://www.leavesongs.com/PENETRATION/php-callback-backdoor.html

使用菜刀連接，查看系統(tǒng)中的文件，可以得到flag。

0xEmmmmmm后門的使用

http://cms.nuptzj.cn/xlcteam.php?www=preg_replace

POST數(shù)據(jù)：wtf=phpinfo();