• [BJDCTF2020]EasySearch


    首先通过扫描发现index.php.swp备份文件
    打开得到代码

    <?php
    	ob_start();
    	function get_hash(){
    		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
    		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
    		$content = uniqid().$random;
    		return sha1($content); 
    	}
        header("Content-Type: text/html;charset=utf-8");
    	***
        if(isset($_POST['username']) and $_POST['username'] != '' )
        {
            $admin = '6d0bc1';
            if ( $admin == substr(md5($_POST['password']),0,6)) {
                echo "<script>alert('[+] Welcome to manage system')</script>";
                $file_shtml = "public/".get_hash().".shtml";
                $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
                $text = '
                ***
                ***
                <h1>Hello,'.$_POST['username'].'</h1>
                ***
    			***';
                fwrite($shtml,$text);
                fclose($shtml);
                ***
    			echo "[!] Header  error ...";
            } else {
                echo "<script>alert('[!] Failed')</script>";
                
        }else
        {
    	***
        }
    	***
    ?>
    

    通过审计 看出 username可以随便填 password可以用python爆破 脚本如下

    import hashlib
    
    for i in range(1000000000):
        a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
        if a[0:6] == '6d0bc1':
            print(i,a) 
    

    结果如下:

    提交之后在请求头中可以找到这样一个页面

    新知识点-SSI注入漏洞

    (shtml是一种基于SSI技术的文件。SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。IIS和Apache都可以开启SSI功能)

    (SSI注入的条件:

    1.Web 服务器已支持SSI(服务器端包含)

    2.Web 应用程序未对对相关SSI关键字做过滤

    3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)


    利用SSI注入漏洞,我们可以在username变量中传入ssi语句来远程执行系统命令。

    然后访问这个shtml

    接着访问flag存放路径即可

  • 相关阅读:
    【博弈论】取火柴游戏
    【贪心】马拉松接力赛
    【贪心】0/1背包
    【贪心】赶作业
    C# 设计模式 (一)
    C# 反射入门
    C# WinForm 访问webService天气预报
    WebService 测试地址
    C# Windows服务相关
    CSS 案例学习
  • 原文地址:https://www.cnblogs.com/buchuo/p/13650644.html
Copyright © 2020-2023  润新知