2023“技能兴鲁”网络安全赛项初赛Web-【一只小蜜蜂】

发表于2023-11-29|更新于2023-11-29|WriteUp2023“技能兴鲁”Web

|字数总计:145|阅读时长:1分钟|阅读量:

一只小蜜蜂 WriteUp

鉴权漏洞

打开发现是Bees CMS

CNVD使用高级搜索

搜索BEESCMS相关内容

其有一个后台登陆绕过

1	只需要传入POST为_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=8888888888888

即可登录后台

之后访问admin.php

通过后台文件上传就可以写shell拿flag了。

当然，这套CMS也存在任意文件读取等相关漏洞，也可以合理利用这些漏洞获得FLAG。

文件上传

上传点：/admin/upload.php

修改Content-Type

修改后上传，在/upload/img/.php即可访问。

文章作者: 青少年CTF

文章链接: https://docs.qsnctf.com/qsnctf/10139.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自青少年CTF-优秀文库！

技能兴鲁 WriteUp Web

相关推荐

2023“技能兴鲁”网络安全赛项初赛Misc-【Datas_secret】

2023“技能兴鲁”网络安全赛项初赛Misc-【IC-Card】

2023“技能兴鲁”网络安全赛项初赛Crypto-【little_hnp】

2023“技能兴鲁”网络安全赛项初赛Misc-【ShowFLAG】

2023“技能兴鲁”网络安全赛项初赛Misc-【卑劣的手段】

2023“技能兴鲁”网络安全赛项初赛Misc-【未知的加密】

数据库加载中