对某cms的一次测试

文章来源：疯猫网络

1.就挺突然的，这个cms我研究了两天，因为这个源码特别奇怪我看不懂（肯定是我太菜了，呜呜呜）所以我用的是黑盒，希望表哥们别喷弟弟我

2.我先放段源码，我确实看不懂，如果有懂的表哥可以解释一下，我顺便学习学习。

我在美化之后是这样子的，这种代码我也是第一次看到，毕竟我是一只小菜鸡，没啥经验的

然后整套源码都是这样子的，我也就挺奇怪的，抓包也没办法溯源文件，所以我也就直接黑盒了

2.1.（丝滑）
因为是cms，我第一时间想到的能不能绕过逻辑检测然后登陆，但是我看不懂源码，我就查看了一下主页的源代码，好家伙，真的这么丝滑的嘛？

然后我在fofa找了一下特征js，css，找到了大约260个用了这套cms的站点（还不少）

然后我测试了一下前50个（主要是因为没fofa会员）大约有1/5的命中率

说明捡到小day了，哈哈哈

2.1.1（cookie伪造）
捡到一个通用弱口令，我们继续测试试试，因为我第一时间想的是逻辑登陆绕过，所以我就讲讲我对这个cms  cookie的分析，首先，我们登陆之后抓包第一段cookie是这样的，这段是判断用户名是否正确，如果错就返回error

同时发送第二个数据包，但是这段cookie引起了我的注意

这里我们可以看看解密之后的cookie，表哥们肯定已经懂了，这段cookie仅仅是把一些固定字符加密然后加上一段密文就当成了管理凭证，经过测试后面的密文是随机生成，每次登陆都不一样，所以我们可以伪造一个带有管理的cookie，加密一下字符即可。

好家伙，成功未授权就进入后台了，但是开发也不是傻子，重新做了校验，我们只能看看后台，但是没啥实际操作权限，讲这个也就讲讲突然出现的思路。

2.1.2
通过弱口令进入后台后，我们肯定是要getshell的，又看到文件上传的地方，手又痒了，写木马进去
用burp改一波包试试，成功写入php文件，返回包中自带路径

因为shell的权限太低了，菜刀连文件读取的权限都没有

后面用冰蝎自带的php马就成功连接上了