未授权访问引发的xx

破壳的题目

靶场地址：http://47.74.184.73:8873

首先看源代码发现了很多js文件

其中sea-config.js中找到了两个源代码中没有的js文件

审计一波

Login.js中的代码是定义的找回密码验证功能

Api.js中post一个userid=x用户名id暂时不知道啥用

回到前端

登陆没找到什么特别的地方，找回密码发现下面有个admin的邮箱填进去试试

Burp抓包发现了userid这个东西

测试别的Email并不会返回，结合前面api.js的url构造一个请求

爆出了管理员的用户名（没发现别的漏洞）

只有一个用户名实在没办法了只能爆破了burp里load一个字典

前端没有验证码爆破出密码1q2w3e（好吧-。-真是弱口令）

进入到后台就这个文件上传能利用可以直接传php

传进去回显文件目录不过找不到具体的子目录233333.

然后修改subSysFolder可以上传任意目录

上马或者反弹个shell

接下来在服务器找到了mysql配置文件root密码一样

可以看出来数据库是单独的服务器这个url我ping不通看他机器的osts解析到了172.18.0.2

接下来udf提权可以提权这个mysql服务器 过程不表

欢迎加入CTF星球