首页 > 其他分享 >9-5

9-5

时间:2022-10-02 10:58:06浏览次数:62  
标签: shtml 文件 htaccess SSI file 页面


title: 9.5
date: 2022-09-06 22:15:37
tags:

[BJDCTF2020]EasySearch

本题考点

了解shtml注入可以rce

写python脚本爆破出md加密后前六位的值与6d0bc1相同

进入之后扫描网站扫到了

index.php.swp

网站源码

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

看到可以写文件

1662344866597

并且文件的内容为 我们POST的username

但是文件的格式为

.shtml

格式

来自网络上的 对shtml的解释

shtml是一种基于SSI技术的文件。SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。IIS和Apache都可以开启SSI功能

(SSI注入的条件:

1.Web 服务器已支持SSI(服务器端包含)

2.Web 应用程序未对对相关SSI关键字做过滤

3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)

所以我们可以执行命令了

先看看怎么才可以写如文件把

审计上面的代码

  $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {

password的值md5加密后前六位 为6d0bc1

所以我们要写脚本爆破出md5加密后值为

6d0bc1的值

from hashlib import md5

for i in range(10000000):
    if md5(str(i).encode('utf-8')).hexdigest()[:6] == '6d0bc1':
        print(i)

shtml文件注入命令

<!--#exec cmd="命令"-->

直接找flag就行

[PASECA2019]honey_shop

打开网站 看到是购买flag

应该是需要改金额才行的 在cooike 或者get 传参 post传参的时候改

然后看到了 cooike中有session

是不是flask框架做的呢

先解密一下session把

1662357329658.png

balance是余额的意思 所以应该就是需要伪造session该金额

需要weizaosession 我们就要找到sercet——key才可以

然后我们发现这里有个下载图片的按钮

用burp抓包看看到底是怎么下载的

1662357488710.png

看到这里有get传参试试其他的图片

1662357617212.png

发现可以下载 存在任意文件下载漏洞 所以现在我们就想要寻找serct——key

这里/proc/self 是获取当前进程的

environ 是获取环境变量的 所以就尝试获取当前的环境变量

1662357896564.png

获取了环境变量找到secret_key

直接伪造session 改钱 买flag

[XNUCA2019Qualifier]EasyPHP

进入网站

 <?php
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    include_once("fl3g.php");
    if(!isset($_GET['content']) || !isset($_GET['filename'])) {
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET['content'];
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
        echo "Hacker";
        die();
    }
    $filename = $_GET['filename'];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nJust one chance");
?> 

先分析一下源码 显示把所有当前文件文件(除了index.php)都删除了

然后content中不能有 on html type flag upload file

filename只能是由字母和.构成的

然后又删除了一次文件

然后写入文件

这里我么可以利用。htaccess文件 来使index.php包含htaccess文件 因为被包含的文件都会被当成PHP文件来解析

所以我们可以在.htaccess文件里面写入php恶意代码 并且把 \nJust one chance 也注释掉了

htaccess里面的设置自动包含文件是

php_value auto_prepend_file ".htaccess"

这样的

这里面包含了file

我们可以用\ 换行符

来分割file 这样htaccess也能正常识别(跟linux里面的也一样)

然后我们就可以执行命令了

标签:,shtml,文件,htaccess,SSI,file,页面
From: https://www.cnblogs.com/kkkkl/p/16748379.html

相关文章