BUUCTF web [BJDCTF2020]EasySearch wp

最新推荐文章于 2025-10-11 17:20:23 发布

原创

最新推荐文章于 2025-10-11 17:20:23 发布 · 475 阅读

0 ·

CC 4.0 BY-SA版权

本文详细介绍了在BJDCTF2020比赛中解决EasySearch挑战的过程，主要涉及SSI注入和PHP代码审计。通过Python脚本找出特定MD5前缀的字符串，然后利用SSI漏洞寻找并控制shtml文件，最终获取到flag。

考点
①ssi注入
进去之后是一个登录框，猜测有没有register.php，经过测试也不存在sql注入。直接御剑扫描（扫buuctf上的题要调线程和超时，我是线程10超时15，不然会被平台禁掉）。扫出来了index.php.swp

在这里插入图片描述
index.php.swp源码

<?php
	ob_start();
	function get_hash(){
   
   
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

是路酒呀

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF [BJDCTF2020] EasySearch

Senimo

01-06

893

BUUCTF [BJDCTF2020] EasySearch 考点： Apache SSI 远程命令执行 shtml文件启动环境：一个登录框，尝试了弱密码与万能密码，均无结果，继续对题目进行信息收集，使用ctf-wscan扫描目录： python3 ctf-wscan.py http://c4567f9c-24a4-42fd-a60f-1e02b2aa1f07.node3.buuoj.cn/ 得到扫描结果，其存在index.php.swp文件： <?php ob_start(); f

BUU-WEB-[BJDCTF2020]EasySearch

qq_24033605的博客

05-19

460

[BJDCTF2020]EasySearch 扫描找到主页的备份源码。 index.php.swp 1.passwd的md5前6位是6d0bc1 2. 成功提交后生成一个shtml文件。（SSI远程命令执行）爆破一下，看看有哪些md5的前六位符合。 import hashlib a = "0123456789" for o in a: for p in a: for q in a: for r in a: for s i

参与评论您还未登录，请先登录后发表或查看评论

[BJDCTF2020]EasySearch

最新发布

积累只要，在专与勤

10-11

445

SSI基本概念：当服务器遇到 .shtml 文件时，会解析其中的特殊指令并执行。

练[BJDCTF2020]EasySearch

m0_66225311的博客

10-07

363

目录扫描，`index.php.swp`文件泄露，代码审计，`MD5`区块爆破，请求响应包的隐藏信息，`.shtml`文件`RCE`漏洞利用

web buuctf [BJDCTF2020]EasySearch

weixin_44214568的博客

04-12

653

知识点：Apache SSI漏洞 Apache安全漏洞_0ak1ey的博客-优快云博客_apache漏洞 Apache SSI远程命令执行漏洞_0ak1ey的博客-优快云博客_apache命令执行漏洞 Apache SSI 远程命令执行漏洞 - MCY5 - 博客园 1.开题：看到题目的时候，我就准备用dirsearch扫描，但是没有扫描出来，我又御剑扫了一遍，第一遍没扫出来，我把线程改成1才扫出来的， 2.贴源码 <?php ob_start(); functio.

BUUCTF WEB easysearch

qq_41696858的博客

01-07

2094

由于buuctf独特的防扫机制，建议加上 -s -t参数，等个10分钟查看index.php.swp查看源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[

buuctf-EasySearch

m0_62094846的博客

05-14

353

特意搜了下题目，以为有什么提示，结果是一个搜索插件然后用注入，爆破密码，都没用扫描后台发现index.php.swp备份（我用御剑没扫出来，下次要安装一些其他的扫描工具，用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的，还要自己添加到字典里。） <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0..

BUUCTF [BJDCTF2020]Easy MD51 解析WP

m0_73615178的博客

01-07

1804

首先，看题有个文本框和一个提交按钮，那么大致注入点从注入框下手，随意输入一个值，通过抓包和分析网址得出，传参方式为GET方式，后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”，其中利用散列函数md5加密了password。MD5函数介绍，语法：md5(string,raw)，其中string要计算的字符串，raw（可选）规定十六进制或二进制输出格式true为原始16字符二进制格式，默认false32字符16进制格式。

129，【2】buuctf [BJDCTF2020]EzPHP

2402_87039650的博客

02-11

1817

进入靶场查看源代码看到红框就知道对了她下面那句话是编码后的，解码1nD3x.php得知参数名称shana,passwd,file,debu,code,arg我勒个豆，好多参数'debu' 参数是否符合正则表达式 '^aqua_is_cute$' 且不等于 'aqua_is_cute'可以尝试数组，内容不变，但类型不是字符串当 PHP 获取时，它会直接返回浏览器发送过来的原始查询字符串，不会对其进行 URL 解码。所以按理说我们进行url编码就能绕过绕过原理是哈希碰撞。

BUUCTF逆向wp [BJDCTF2020]JustRE

2302_81740139的博客

02-05

792

且后面有两个数字19999和0，在C语言中我们知道，输出数字用%d来表示。这里我们同样运用一下，那么最终的结果为1999902069a45792d233ac，把BJD换成flag即可。第三步按shift+f12进入strings窗口，找到一串可疑的字符串，如图所示，并双击。第二步按tab键转换成伪代码，并没有什么发现。该题目为32位，无壳。第四步点击此处继续跟进。

BUUCTF Crypto [BJDCTF2020]rsa_output wp

hsqGOD's blog

03-19

2153

不多说，RSA共模攻击，脚本如下 // python2 from gmpy2 import invert def gongmogongji(n, c1, c2, e1, e2): def egcd(a, b): if b == 0: return a, 0 else: x, y = egcd(b, a % b)...

BUUCTF-WEB 【BJDCTF2020】EasySearch 1

qq_36410265的博客

02-08

522

SSI（服务端包含）

buuCTF [BJDCTF2020]EasySearch 1

weixin_45642610的博客

04-14

2284

buuCTF [BJDCTF2020]EasySearch 1 进去后是这样扫后台发现index.php.swp备份。这里吐槽一下。我用dirsearch扫了3次都没出来，最后用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的，还要自己添加到字典里。要求password的md5值的前6个字符为6d0bc1。敲代码（python）： from hashlib import md5 for i in range(10000000): if md5(str(i).

BUUCTF [BJDCTF2020]EasySearch

qq_53863234的博客

12-05

2981

Apache SSI 远程命令执行漏洞

BUUCTF：[BJDCTF2020]EasySearch

末初 · mochu7

10-06

888

运行之后在响应头反馈了访问URL。在当前目录的上一级发现flag。访问即可发现成功执行。

---------已搬运-------BUUCTF：[BJDCTF2020]EasySearch ----- ssi注入漏洞

Zero_Adam的博客

02-25

393

目录：一、自己做：二、不足&&学到的三、学习WP 一、自己做：二、不足&&学到的三、学习WP

buuctf web wp

03-08

### BUUCTF Web 题目 Writeup #### SQL 注入攻击中的堆叠注入技巧在处理SQL注入漏洞时，堆叠注入是一种常见的技术。具体来说，在给定场景中，通过向服务器发送恶意构造的HTTP请求来获取数据库结构信息。例如，...