BUUCTF web [BJDCTF2020]EasySearch wp

最新推荐文章于 2025-10-11 17:20:23 发布

原创

最新推荐文章于 2025-10-11 17:20:23 发布 · 475 阅读

0 ·

CC 4.0 BY-SA版权

本文详细介绍了在BJDCTF2020比赛中解决EasySearch挑战的过程，主要涉及SSI注入和PHP代码审计。通过Python脚本找出特定MD5前缀的字符串，然后利用SSI漏洞寻找并控制shtml文件，最终获取到flag。

考点
①ssi注入
进去之后是一个登录框，猜测有没有register.php，经过测试也不存在sql注入。直接御剑扫描（扫buuctf上的题要调线程和超时，我是线程10超时15，不然会被平台禁掉）。扫出来了index.php.swp

在这里插入图片描述
index.php.swp源码

<?php
	ob_start();
	function get_hash(){
   
   
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

是路酒呀

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF [BJDCTF2020] EasySearch

Senimo

01-06

893

BUUCTF [BJDCTF2020] EasySearch 考点： Apache SSI 远程命令执行 shtml文件启动环境：一个登录框，尝试了弱密码与万能密码，均无结果，继续对题目进行信息收集，使用ctf-wscan扫描目录： python3 ctf-wscan.py http://c4567f9c-24a4-42fd-a60f-1e02b2aa1f07.node3.buuoj.cn/ 得到扫描结果，其存在index.php.swp文件： <?php ob_start(); f

BUU-WEB-[BJDCTF2020]EasySearch

qq_24033605的博客

05-19

460

[BJDCTF2020]EasySearch 扫描找到主页的备份源码。 index.php.swp 1.passwd的md5前6位是6d0bc1 2. 成功提交后生成一个shtml文件。（SSI远程命令执行）爆破一下，看看有哪些md5的前六位符合。 import hashlib a = "0123456789" for o in a: for p in a: for q in a: for r in a: for s i

参与评论您还未登录，请先登录后发表或查看评论

[BJDCTF2020]EasySearch

最新发布

积累只要，在专与勤

10-11

445

SSI基本概念：当服务器遇到 .shtml 文件时，会解析其中的特殊指令并执行。

练[BJDCTF2020]EasySearch

m0_66225311的博客

10-07

363

目录扫描，`index.php.swp`文件泄露，代码审计，`MD5`区块爆破，请求响应包的隐藏信息，`.shtml`文件`RCE`漏洞利用

web buuctf [BJDCTF2020]EasySearch

weixin_44214568的博客

04-12

653

知识点：Apache SSI漏洞 Apache安全漏洞_0ak1ey的博客-优快云博客_apache漏洞 Apache SSI远程命令执行漏洞_0ak1ey的博客-优快云博客_apache命令执行漏洞 Apache SSI 远程命令执行漏洞 - MCY5 - 博客园 1.开题：看到题目的时候，我就准备用dirsearch扫描，但是没有扫描出来，我又御剑扫了一遍，第一遍没扫出来，我把线程改成1才扫出来的， 2.贴源码 <?php ob_start(); functio.

BUUCTF WEB easysearch

qq_41696858的博客

01-07

2094

由于buuctf独特的防扫机制，建议加上 -s -t参数，等个10分钟查看index.php.swp查看源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[

buuctf-EasySearch

m0_62094846的博客

05-14

353

特意搜了下题目，以为有什么提示，结果是一个搜索插件然后用注入，爆破密码，都没用扫描后台发现index.php.swp备份（我用御剑没扫出来，下次要安装一些其他的扫描工具，用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的，还要自己添加到字典里。） <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0..

BUUCTF [BJDCTF2020]Easy MD51 解析WP

m0_73615178的博客

01-07

1805

首先，看题有个文本框和一个提交按钮，那么大致注入点从注入框下手，随意输入一个值，通过抓包和分析网址得出，传参方式为GET方式，后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”，其中利用散列函数md5加密了password。MD5函数介绍，语法：md5(string,raw)，其中string要计算的字符串，raw（可选）规定十六进制或二进制输出格式true为原始16字符二进制格式，默认false32字符16进制格式。

129，【2】buuctf [BJDCTF2020]EzPHP

2402_87039650的博客

02-11

1817

进入靶场查看源代码看到红框就知道对了她下面那句话是编码后的，解码1nD3x.php得知参数名称shana,passwd,file,debu,code,arg我勒个豆，好多参数'debu' 参数是否符合正则表达式 '^aqua_is_cute$' 且不等于 'aqua_is_cute'可以尝试数组，内容不变，但类型不是字符串当 PHP 获取时，它会直接返回浏览器发送过来的原始查询字符串，不会对其进行 URL 解码。所以按理说我们进行url编码就能绕过绕过原理是哈希碰撞。

BUUCTF逆向wp [BJDCTF2020]JustRE

2302_81740139的博客

02-05

792

且后面有两个数字19999和0，在C语言中我们知道，输出数字用%d来表示。这里我们同样运用一下，那么最终的结果为1999902069a45792d233ac，把BJD换成flag即可。第三步按shift+f12进入strings窗口，找到一串可疑的字符串，如图所示，并双击。第二步按tab键转换成伪代码，并没有什么发现。该题目为32位，无壳。第四步点击此处继续跟进。

BUUCTF Crypto [BJDCTF2020]rsa_output wp

hsqGOD's blog

03-19

2153

不多说，RSA共模攻击，脚本如下 // python2 from gmpy2 import invert def gongmogongji(n, c1, c2, e1, e2): def egcd(a, b): if b == 0: return a, 0 else: x, y = egcd(b, a % b)...

BUUCTF-WEB 【BJDCTF2020】EasySearch 1

qq_36410265的博客

02-08

522

SSI（服务端包含）

buuCTF [BJDCTF2020]EasySearch 1

weixin_45642610的博客

04-14

2284

buuCTF [BJDCTF2020]EasySearch 1 进去后是这样扫后台发现index.php.swp备份。这里吐槽一下。我用dirsearch扫了3次都没出来，最后用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的，还要自己添加到字典里。要求password的md5值的前6个字符为6d0bc1。敲代码（python）： from hashlib import md5 for i in range(10000000): if md5(str(i).

BUUCTF [BJDCTF2020]EasySearch

qq_53863234的博客

12-05

2981

Apache SSI 远程命令执行漏洞

BUUCTF：[BJDCTF2020]EasySearch

末初 · mochu7

10-06

889

运行之后在响应头反馈了访问URL。在当前目录的上一级发现flag。访问即可发现成功执行。

---------已搬运-------BUUCTF：[BJDCTF2020]EasySearch ----- ssi注入漏洞

Zero_Adam的博客

02-25

393

目录：一、自己做：二、不足&&学到的三、学习WP 一、自己做：二、不足&&学到的三、学习WP

buuctf web wp

03-08

### BUUCTF Web 题目 Writeup #### SQL 注入攻击中的堆叠注入技巧在处理SQL注入漏洞时，堆叠注入是一种常见的技术。具体来说，在给定场景中，通过向服务器发送恶意构造的HTTP请求来获取数据库结构信息。例如，为了查询数据库名称： ```sql 1' UNION SELECT NULL, version() -- ``` 当进一步探索表名时，可以利用以下方法绕过简单的过滤机制[^1]。对于更复杂的过滤条件，比如`from`关键字被加入黑名单的情况，则需要更加巧妙的方法去规避这些限制。一种可能的方式是使用子查询或者其他不涉及敏感关键词的技术实现相同功能。 #### 利用命令注入读取文件内容针对存在命令注入缺陷的应用程序，可以通过精心设计的有效载荷(payload)执行任意操作系统指令。如下面的例子所示，它展示了如何通过修改URL参数并结合Linux shell工具链(`echo`, `tr`, 和 `cat`)来读取特定文件的内容而不触发基于正则表达式的检测规则[^2]: ```bash /?ip=qq.com;echo$IFS$1FLAG.PHP|tr$IFS$1A-Z$IFS$1a-z|xargs$IFS$1cat ``` 这段代码的作用是以大写字母形式传递目标文件名，并将其转换成小写后再调用`cat`命令打印出来，从而成功绕过了仅识别全小写的防护措施。 #### URL编码与特殊字符替换 PHP框架对来自客户端的数据进行了预处理，这可能导致原始输入发生变化。了解这种行为有助于理解为何某些Payload能够生效而另一些却不行。特别是关于空白符和其他控制字符是如何被解释和存储的知识点非常重要。例如，空格可能会变为下划线或其他符号；NULL字节(%00)也可能引起意外的结果。因此，在构建测试案例之前应该充分考虑这些问题的影响[^3]. ```php <?php // 示例：展示 PHP 如何解析 URL 参数 parse_str('foo=%20bar&baz%00=fizz', $output); print_r($output); // Array ( [foo_] => bar [baz_] => fizz ) ?> ``` 以上就是一些典型的CTF竞赛中遇到的安全挑战及其解决方案概览。希望上述分析能帮助读者更好地理解和解决类似的网络安全问题。