1.本題是滲透測試入門的一道基礎題，雖然美其名曰“真的很簡單”，但對于新手還是有一定挑戰(zhàn)性的，實踐并掌握本題中的所有知識點，對滲透測試的基本理解有很大幫助。

此題的目標是對一個基于織夢 CMS 的網(wǎng)站進行滲透測試，找到網(wǎng)站登錄后臺，繼而入侵服務器找到存放 flag 的文件。從實驗手冊上，可看出其中還會涉及到簡單的提權過程。

題目鏈接：https://xintu.ichunqiu.com/battalion?t=2&r=54399

解題鏈接：https://xintu.ichunqiu.com/vm/51123/1

本次實驗要求獲取目標網(wǎng)站的FLAG信息。

2.網(wǎng)站管理員的密碼是多少？第 1 題相對簡單，在實驗環(huán)境內(nèi)根據(jù)提示打開下載鏈接 http://file.ichunqiu.com/49ba59ab，接著下載爆破工具 dedecms.exe：

打開工具，輸入目標 URL，一鍵爆破得到管理員的賬號 ichunqiu 與密碼哈希值 adab29e084ff095ce3eb：

對md5加密的密碼進行解密

成功得到明文

3.網(wǎng)站后臺目錄名是什么？第 2 題上來先嘗試織夢 CMS 的默認后臺路徑 /dede/index.php 或 /dede/login.php，得到 404 的結果也是意料之中，即現(xiàn)在的問題是要找出修改后的后臺目錄名。打開實驗工具箱，發(fā)現(xiàn)【目錄掃描】文件夾，以【御劍后臺掃描工具】為例，對目標 URL 掃描后得到如下結果：

并未發(fā)現(xiàn)后臺地址注意，為了保證掃描效率，一般后臺掃描工具都是采用字典掃描，而不是暴力窮舉，因此不同掃描器得到的結果不完全相同，盡可能使用多種掃描器，偏僻怪異的名字可能掃描不出來。筆者采用了多種掃描器，并對其可能的結果進行驗證，都一無所獲，即可判斷此后臺目錄名具有較強的個性或隨機性。所以要轉(zhuǎn)換思路，看看織夢 CMS 是否存在后臺地址信息泄露的漏洞。果不其然，發(fā)現(xiàn)從報錯文件 /data/mysql_error_trace.inc 或 /data/mysqli_error_trace.inc 中，可得到泄露的后臺路徑。最后在 /data/mysqli_error_trace.inc 中獲得后臺目錄名為 lichunqiul：

對其進行驗證，終于看到了后臺登錄頁面：

4.管理員桌面中 flag 文件信息是？用賬號 ichunqiu 與密碼 only_system 登錄后臺后，根據(jù)實驗手冊，要想辦法利用中國菜刀連接服務器，獲得 webshell，進而查看 flag 文件中的信息。獲取 webshell首先我們需要在服務器插入一句話木馬，然后才能用菜刀連接，獲得 webshell。直接修改模板 PHP 源碼依次點擊 模板 -> 標簽源碼管理，以編輯第一個模板 adminname.lib.php 為例：

在模板中寫入一句話

使用中國菜刀連接

成功拿到shell

先切換至管理員桌面

可以看到存在一個flag文件，使用type命令嘗試看下

發(fā)現(xiàn)提示沒有權限用 cacls 命令查看 flag 文件的訪問控制列表（ACL），后用 whoami 命令查看用戶名，發(fā)現(xiàn) authority\system 用戶對于 flag 文件的權限是 N，即無權限

使用whoami發(fā)現(xiàn)我們的權限是system，這是最高權限啊，用 cacls 命令更改了訪問權限后，authority\system 用戶對于 flag 文件的權限變成了 F

成功拿到flag