NKCTF2024
WEB
My first cms
这题我要背锅,因为我顺着版本号找CVE结果找出来是个错家伙。我找的是CVE-2024-27625,但是题目出的是CVE-2024-27622…….:fearful:
不过在做的时候也是离谱,我开始猜测弱密码爆破是对的,结果被自己找的弱密码给坑了……:cold_sweat:
CVE-2024-27625是XSS攻击,CVE-2024-27622是远程RCE。
从一些漏洞情报的网站上看后得知,前者是因为开发者没有注意或者清理用户新建目录(不过更多是感觉没有做严格过滤),导致攻击者可以通过新建目录的字段植入恶意代码,从而引发持续性的XSS攻击;后者也是因为没有注意或者清理用户的输入,导致攻击者可以通过获取管理员权限来进行php代码的编写与执行。
反正,这道题特别简单。找个输入的地方然后写:horse:即可