bees cms

经过对此靶场的浏览未发现任何上传点：

尝试寻找后台管理页面，在url后追加输入/admin:

成功找到：

因靶场本身安装时就设置过登录信息，这里就不爆破直接登录了：

经过浏览发现可以上传图片：

尝试上传一个瞅瞅： 缩略图这里不要打钩，上传后发现被拦截（byd不用jpg图片？？）

试试png： byd总不能是gif吧？

还真给传上去了。。。。

但是右击图片新页面打开发现我的薯片猫不动了，说明靶场对图片进行了转码

制作一个gif后缀的木马：

尝试上传并抓包修改：

传进去了但是发现不太对，右击打开不知道是个什么玩意：

尝试点击图片左上角：

点开发现似乎代码被执行了：

尝试打开蚁剑连接上图url：

getshell：

sdcms

看了一圈后发现也没有上传点，尝试用bees的方法找到后台，结果404了：

尝试注册：

注册后个人中心发现可以点击头像上传文件：

尝试随便传个info： 上传失败

尝试上传个制作好的图片马：

木马版薯片猫还是上传失败了，推测会对文件内容检测，eval大概是个关键字

尝试用类封装木马并用assert替代eval进行绕过： 还是不行

搜索其他免杀方案：

尝试用str_replace()函数进行绕过：

显示上传成功：

右击头像新页面打开： 似乎被解析成功，但是不对，不应该有乱码

右击下载下来： 发现木马被转码成了图片

可以断定代码是能用的，只是上传后会被转码。寻找后台，并在后台看看有没有办法上传木马

又看了一圈猜测登录页面可以转到后台，点击请登录：

找到后台：

登录后寻找上传点：

继续上传刚才写好的木马：

Forward后发现上传成功：

附件选择里右击打开图片发现报错：

检查木马代码发现没有用@错误抑制符：

加上后重新上传新页面只显示了显示文件头，这把应该是对的：

尝试用蚁剑连接： 把base64勾上后显示连接成功

这勾八框架是真不怕出内奸嗷

cpms

转了一圈发现这是个模拟掘金社区的靶场，但没找到任何上传点，尝试在主页url后加入/admin进入后台： 本以为这个会更难找，没成想直接就进来了

因为安装时就知道了管理员密码，爆破没有意义，直接进来找上传点：

文章列表找到了上传点：

尝试上传一个木马：

发现被拦截：

上传一个正常图片： 上传成功

右击打开发现没有后缀：

但是文章发表后再打开后缀就出来了：

推测文章未发表时图片属于临时保存或未发表时图片仅加载在内存里，发表后保存在服务器硬盘，尝试在发表保存时对后缀进行修改：

Forward后发现显示保存成功（闪得太快没截到图），刷新页面后打开木马：

尝试蚁剑连接： 连接成功

xhcms

到处乱点后：

因本地搭建了很多靶场，打算用file:// 加绝对路径包含其他靶场的文件验证这里是不是文件包含漏洞:

回车后发现是文件包含漏洞：

打开bp工具，用php://input（将数据包内容执行成php代码）构造一个url查看靶场信息：

将这个包发往重放模块： 执行成功

利用fputs()和fopen()两个函数在靶场内生成文件，首先生成info.txt并用文件包含漏洞查看靶场信息：

发送成功后在url栏利用该漏洞构造打开info.txt：

同理，利用这两个函数在靶场生成一个木马：

发送后在网页内打开： 打开后啥也没有应该是木马被执行了

打开蚁剑连接这个木马：

getshell：