[GKCTF 2021]easycms

[GKCTF 2021]easycms

解法1：

打开之前有hint查看一下

但是进入页面点击右上角的登录也没出现登录页面

看师傅们用御剑能扫描出来admin.php，而我的却扫描不出来，url加admin.php发现了登录页面

提示告诉我们密码是五位弱口令，一下就猜中了账号是admin密码是12345

找到设计--主题--自定义

然后编辑页头

类型选择php源代码

直接尝试抓取flag，<?php system("cat /flag");?>，但保存的时候就出现了问题，需要权限（这个文件名每个人都是不一样的）

下面开始绕过权限：找到设计--组件--素材库

随意上传一个txt文件

 上传成功后刷新一下页面，然后编辑我们上传的东西，名称改为../../../../../system/tmp/mpor（最后这个mpor每个人都是不一样的），然后保存

这样就已经绕过了权限了，此时再回到设计--主题--自定义--页头编辑--类型选为php源代码，再次进行抓flag

此时就能够上传成功了

返回到网站首页即可发现flag

解法2：

进入页面后找到设计--主题--自定义

点进去之后右上角有一个导出主题

点击进去之后随意填内容，填完之后保存

此时他会蹦出来下载界面，点击下载，然后再下载管理中找到这个文件，右击有个复制下载链接

发现下载链接后面有一堆base加密字符串，解密一下看看

应该是路径，直接尝试一下直接查找flag，/flag用base64加密得L2ZsYWc=

然后将链接中的路径内容直接替换成L2ZsYWc=，直接去访问

然后还会蹦出来一个文件，下载用记事本打开发现flag