Typecho Writeup

admin
admin
admin
102369
文章
87
评论
2023年12月15日00:49:52评论8 views字数 455阅读1分31秒阅读模式

之前无聊搭的靶机 挺好玩的

也有人拿到了 flag

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-95.jpg

这里有两个切入点 社工vim

关于界面

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-45.jpg

这里我特地写出 xiaoming 和 vim 两个关键字

主页也有关于 vim 的文章

密码组合一下 xiaominglovevim

提示已经很明显了

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-7.jpg

vim 意外退出会产生 .[文件名].swp 的缓存文件

typecho 配置文件 config.inc.php

访问 .config.inc.php.swp 直接下载

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-18.jpg

之后就是登录 phpmyadmin insert 或者 update 管理员表

后台拿 shell 并没有那么难

我把 编辑主题 插件管理 文件管理 相关的文件都删掉了

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-88.jpg

后台能添加上传后缀

php php5 添加后都不能上传成功

而 phtml 可以

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-91.jpg

但上传也是有坑的

http://cn-sec.com/wp-content/uploads/2023/12/20231214161925-48.jpg

这里的代码 让你即使上传了 phtml 文件也不知道路径

但能上传图片并返回路径

思路就有了

上传图片 –> 上传 phtml –> 再上传图片

通过两个图片的文件名可以爆破出 phtml 的路径

http://cn-sec.com/wp-content/uploads/2023/12/20231214161926-58.jpg

拿到 shell 后 flag.php

http://cn-sec.com/wp-content/uploads/2023/12/20231214161926-83.jpg

AES 加密

密钥

http://cn-sec.com/wp-content/uploads/2023/12/20231214161926-72.jpg

base64 解密后为 fuckyouflag

http://cn-sec.com/wp-content/uploads/2023/12/20231214161926-26.jpg

- By:X1r0z[exp10it.cn]

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月15日00:49:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Typecho Writeuphttps://cn-sec.com/archives/2301481.html

发表评论

匿名网友 填写信息