第三届“红明谷杯”

发表于 2023-04-21 阅读次数：

谷歌浏览器直接修改js,点10下直接加1000

任意文件读取

同样在gitee仓库中写着管理员账户密码

用户名：wangjn
密码: 123456

登陆后在栏目文章里面添加文章，模板管理的封面按模板中加上../../../../../../../flag

去主页访问test即可

同上一题一样的cms，https://forum.butian.net/share/2183,使用这里的后台模板管理可以任意编辑导致GetShell

在得到的附件里面的src\main\resources\db\dreamer-cms\templates路径（解压dreamer-cms.zip）下面找到default_v2，修改里面的themePath(当时忘记截图，借网上的用用)

"themePath":"./../../../../../../../../../../../../../"//此路径要和模板文件夹的名称一致

然后将文件夹改名后压缩，到登录的后台的风格管理处上传，然后设置新上传的风格为启用

然后在模板管理处就能看到根目录所有的文件，然后开始了漫长的找flag环节。。。。

结束后看wp才知道flag在环境变量里面，读取文件/proc/1/environ就能找到flag....