title: 9.5
date: 2022-09-06 22:15:37
tags:
[BJDCTF2020]EasySearch
本题考点
了解shtml注入可以rce
写python脚本爆破出md加密后前六位的值与6d0bc1相同
进入之后扫描网站扫到了
index.php.swp
网站源码
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
看到可以写文件
并且文件的内容为 我们POST的username
但是文件的格式为
.shtml
格式
来自网络上的 对shtml的解释
shtml是一种基于SSI技术的文件。SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。IIS和Apache都可以开启SSI功能
(SSI注入的条件:
1.Web 服务器已支持SSI(服务器端包含)
2.Web 应用程序未对对相关SSI关键字做过滤
3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)
所以我们可以执行命令了
先看看怎么才可以写如文件把
审计上面的代码
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
password的值md5加密后前六位 为6d0bc1
所以我们要写脚本爆破出md5加密后值为
6d0bc1的值
from hashlib import md5
for i in range(10000000):
if md5(str(i).encode('utf-8')).hexdigest()[:6] == '6d0bc1':
print(i)
shtml文件注入命令
<!--#exec cmd="命令"-->
直接找flag就行
[PASECA2019]honey_shop
打开网站 看到是购买flag
应该是需要改金额才行的 在cooike 或者get 传参 post传参的时候改
然后看到了 cooike中有session
是不是flask框架做的呢
先解密一下session把
balance是余额的意思 所以应该就是需要伪造session该金额
需要weizaosession 我们就要找到sercet——key才可以
然后我们发现这里有个下载图片的按钮
用burp抓包看看到底是怎么下载的
看到这里有get传参试试其他的图片
发现可以下载 存在任意文件下载漏洞 所以现在我们就想要寻找serct——key
这里/proc/self 是获取当前进程的
environ 是获取环境变量的 所以就尝试获取当前的环境变量
获取了环境变量找到secret_key
直接伪造session 改钱 买flag
[XNUCA2019Qualifier]EasyPHP
进入网站
<?php
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
include_once("fl3g.php");
if(!isset($_GET['content']) || !isset($_GET['filename'])) {
highlight_file(__FILE__);
die();
}
$content = $_GET['content'];
if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
echo "Hacker";
die();
}
$filename = $_GET['filename'];
if(preg_match("/[^a-z\.]/", $filename) == 1) {
echo "Hacker";
die();
}
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
file_put_contents($filename, $content . "\nJust one chance");
?>
先分析一下源码 显示把所有当前文件文件(除了index.php)都删除了
然后content中不能有 on html type flag upload file
filename只能是由字母和.构成的
然后又删除了一次文件
然后写入文件
这里我么可以利用。htaccess文件 来使index.php包含htaccess文件 因为被包含的文件都会被当成PHP文件来解析
所以我们可以在.htaccess文件里面写入php恶意代码 并且把 \nJust one chance
也注释掉了
htaccess里面的设置自动包含文件是
php_value auto_prepend_file ".htaccess"
这样的
这里面包含了file
我们可以用\ 换行符
来分割file 这样htaccess也能正常识别(跟linux里面的也一样)
然后我们就可以执行命令了
标签:,shtml,文件,htaccess,SSI,file,页面 From: https://www.cnblogs.com/kkkkl/p/16748379.html