一天一道ctf 第37天(SSI注入)

SQL注入与SSI注入:BJDCTF2020 EasySearch漏洞解析
最新推荐文章于 2022-08-19 22:51:52 发布
原创 最新推荐文章于 2022-08-19 22:51:52 发布 · 177 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了BJDCTF2020 EasySearch挑战中的安全漏洞,包括为何不是SQL注入以及如何利用dirsearch和御剑扫描隐藏文件。讲解了如何通过构造特殊用户名进行SSI注入,从而读取flag。同时,提供了利用Python进行密码匹配的思路。

[BJDCTF2020]EasySearch
在这里插入图片描述
感觉不像SQL注入,扫一下后台文件,这里我用dirsearch和御剑都没扫出来。网上看了别人的说是御剑能扫出来index.php.swp(是我版本太老了吗?)

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

先过第一关,让password的md5字符串前6位等于6d0bc1,用python写脚本跑一下
在这里插入图片描述
用2020666作为password登陆一下,可以看到成功进入下一步
在这里插入图片描述
接下来是一个新的知识点:SSI注入,和SSTI注入很像,它是指被嵌入在html页面中的可执行代码被执行产生的漏洞。在这道题中,当我们的password通过时,它会打开一个file_shtml文件,并且写入我们输入的username,这就造成了可注入。
这是正常的用户名:
在这里插入图片描述
换成username=<!--#exec cmd="ls ../"-->
在这里插入图片描述
username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->拿到flag
在这里插入图片描述

scrawman
关注
CTF训练 web安全SSI注入
梁辰兴的博客
10-18 771
SSI(server side inject)的出现是为了赋予html静态页面动态的效果,通过SSI来执行系统命令,并返回对应的结果。如果在网站目录中发现了.stm,.shtm,.shtml,并且网站对于SSL的输入没有做到严格过滤,很有可能被SSI注入攻击。在CTF比赛中,对于SSI漏洞服务器具有很多过滤机制,我们需要对其进行绕过,比如大小写。
一天一道ctf 第52(二次注入
scrawman的博客
08-16 405
[RCTF2015]EasySQL 猜是一道二次注入的题目,但是找不到源码,就注册个admin‘/’'测试一下。登录以后可以看到我们输入的用户名原封不动地回显给我们,点击修改密码会报错。可以看到是双引号闭合,确定是二次注入。 用报错注入看数据库名,要注意or空格都被过滤用||()绕过。 admin"||(updatexml(1,concat(0x7e,(select(database())),0x7e),1))# admin"||(updatexml(1,concat(0x7e,(select
buu(ssti模板注入、ssrf服务器请求伪造)
qq_62046696的博客
08-19 1135
搜索一下,shtml的信息,补充一下什么是ssi注入SSI 注入全称Server-Side Includes Injection(服务端包含注入),ssi可以赋予html静态页面的动态效果,通过ssi执行命令,返回对应的结果,当在网站目录中发现了.stm .shtm .shtml或在界面中发现了。到这分析结束,我们只要绕过checkSign,让返回的值相同就可以了,可是secret这个密钥我们不知道值呀,仔细看第一个目录就可以明白。打开界面源码,什么都没有发现,试一下万能密码之类的登录,只返回fail。.
SSTI完全学习
Sea_Sand息禅
07-19 2万+
一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获...
SSI注入漏洞
Hydra的博客
11-19 1万+
SSI 注入全称Server-Side Includes Injection,即服务端包含注入SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。 SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。 从技术角度上来说,SSI就是...
SSTI (服务器模板注入)
热门推荐
Hydra的博客
11-02 2万+
 先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request....
SQL server提权_环境实操wp
CHUNJIUJUN的博客
08-17 390
拿到IP,先进去看看,发现啥都没有 上nmap御剑扫一下端口 没扫到啥新鲜的端口,去8080端口看看 是个登录框,试了试弱口令什么的都不行,上御剑扫一下目录 发现一个www.zip,进去试试 发现一个config文件 拿到了数据库账号密码,登上去看看 拿到一个key,再找找 拿到管理员账号密码,从8080端口登进去看看 没登上去,发现密码是拿md5加密了,解密一下为 woaini521 成功登进去,拿到key 找了找其他地方...
CTF-SSI注入攻击
Reaches_r的博客
08-06 650
前言:SSI介绍 SSl(server side inject)的出现是为了赋予html静态页面动态的效果,通过ssi来执行系统命令,并返回对应的结果。 如果在网站目录中发现了.stm, .shtm .shtml,并且网站对于ssi的输入没有做到严格过滤,很有可能被ssl注入攻击。 1.用dirbnikto扫描,收集有用信息。很明显可以判断有ssi漏洞 2.看看这个index文件,是一个命令行,这时开始寻找注入点 3.发现首页有个可以输入的地方,feedback(反馈)肯定是个注入点..
一天一道ctf 第16(data伪协议,异或sql注入
scrawman的博客
03-29 2257
看到unserialize()函数觉得是反序列化的题,但是没有看到class的定义。作者这边提示了useless.php,那就用filter伪协议读一下看看。?file=php://filter/read=convert.base64-encode/resource=useless.php,没有反应,忘记了前面text也要绕过。 text的值可以用data伪协议输入,?text=data:text/plain,welcome to the zjctf&file=php://filter/read=.
一天一道ctf 第25(md5强碰撞)
scrawman的博客
04-17 2327
注意到URL中的img链接不寻常,对TXpVek5UTTFNbVUzTURabE5qYz0base64解码两次,Hex解码一次,得到555.png 那我们对index也同样Hex编码一次,base64编码两次得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3替换掉URL中原来的字符串 查看源代码里面一长串的字符串就是index.php,base64解码。而且在最后还有作者还写了一句MD5 is funny,可能也是提示 <?php error_reporting(E_ALL ||.
web buuctf [GXYCTF2019]禁止套娃1
weixin_44214568的博客
03-24 2048
考点:1.git泄露 2.无参RCE 1.用御剑扫后台没扫到啥东西 看robots.txt文本,也没有 2.都这样了,考虑一下有没有可能存在.git泄露, (我装了两个版本的python,githack需要在python2下运行) index.php源码如下 <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:.
CTF实验:SSI注入
floyd_art的博客
04-04 610
SSI注入攻击介绍 SSI(server side inject)的出现是为了赋予html静态页面动态的效果,通过SSI来执行系统命令,并返回对应的结果。     如果在网站目录中发现了 .stm, .shtm .shtml,并且网站对于SSL的输入没有做到严格过滤,很有可能被SSI注入攻击。 信息探测 扫描主机服务信息以及服务版本 – nmap -sV 靶场IP地址 快速扫描主机全部信息 –...
关于SSTI注入的一些理解
weixin_44477223的博客
04-13 1044
什么是SST 原理 利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 用途 让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这就大大提升了开发效率,良好的设计也使得代码重用变得更加容易。 SSTI是什么 SSTI类似与sql注入,但是与sql有所不同的是,SSTI利用的事故网站的模板引擎,主要是网站处理框架。 Python的jinja2 ma
模板注入(SSTI)攻击(jinja2)
钞sir的博客
10-04 2万+
常见Web注入(SQL注入)的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。(web安全中的真理:永远不要相信用户的输入)一道CTF为例,简单演示一下注入的流程及一些被过滤了的命令的构造方法; 首先打...
国家自然科学基金项目数据分析与可视化工具_国家自然科学基金项目数据科研项目分析资助趋势统计学科领域分布项目负责人信息经费使用情况成果产出评估国际合作研究青年科学基金.zip
12-01
国家自然科学基金项目数据分析与可视化工具_国家自然科学基金项目数据科研项目分析资助趋势统计学科领域分布项目负责人信息经费使用情况成果产出评估国际合作研究青年科学基金.zip
JouChin_TurbineMarineProject_44300_1764554191333.zip
最新发布
12-01
JouChin_TurbineMarineProject_44300_1764554191333.zip
【太阳能电池系统与逆变器】太阳能电池的电压输出被储存在电池中,同时直流电压通过五级逆变器转换为交流电(Simulink仿真实现)
12-01
【太阳能电池系统与逆变器】太阳能电池的电压输出被储存在电池中,同时直流电压通过五级逆变器转换为交流电(Simulink仿真实现)内容概要:本文档围绕太阳能电池系统与逆变器展开,重点介绍了一个基于Simulink的仿真模型,其中太阳能电池产生的直流电压被储存于电池中,并通过五级逆变器转换为交流电。该系统仿真涵盖了光伏发电、储能管理电力电子变换的核心环节,突出了多级逆变器在提升电能质量转换效率方面的优势。文中详细描述了系统结构、工作原理及Simulink建模过程,有助于理解可再生能源系统的能量转换与控制策略。; 适合人群:具备一定电力电子、自动控制或新能源系统基础知识的高校学生、研究人员及工程技术人员。; 使用场景及目标:①用于教学演示太阳能发电系统的能量流动与转换过程;②支持科研中对多级逆变器拓扑结构的性能分析与优化设计;③为微电网、分布式能源系统中的储能与并网控制提供仿真基础。; 阅读建议:建议结合Simulink软件实际操作,深入理解模型各模块的功能与参数设置,并可通过修改逆变器级数或控制策略进行拓展性实验,以增强对系统动态响应稳定性的认识。
【智能车竞赛】多模态感知与控制技术融合:基于全国大学生智能汽车竞赛的工程实践与产业落地应用研究
12-01
内容概要:本文全面解析了全国大学生智能汽车竞赛的赛事定位、赛制安排与竞赛类别,并通过武汉大学、成都理工大学等高校的经典参赛案例,深入剖析了智能车在视觉识别、机械结构设计、算法优化等方面的创新实践。文章进一步梳理了智能车开发的核心技术体系,涵盖感知层的多传感器融合与视觉AI部署、决策控制中的路径规划与运动控制策略,以及软硬件平台的协同架构。最后,基于竞赛技术延伸出智能物流分拣车、越野巡检机器人、多模态智能识别平台等实际应用项目,展示了从赛事到产业落地的技术转化路径。; 适合人群:具备一定电子、控制、计算机或机械基础的高校学生及指导教师,尤其适合参与智能车竞赛或工程实践项目的1-3年经验研发人员; 使用场景及目标:①了解智能车竞赛的整体架构与备赛策略;②掌握视觉识别、多传感器融合、运动控制等关键技术的设计与实现方法;③探索竞赛成果向智能物流、无人巡检、安防识别等领域的产业化应用; 阅读建议:建议结合具体案例与技术模块进行系统学习,重点关注技术突破背后的创新思维与跨学科整合方法,同时可参考文中项目实践开展原型开发与成果转化。
基于JavaVue技术构建的现代化自助点餐系统_包含餐厅员工管理员客人三种身份角色支持点餐前台后台管理功能涵盖首页个人中心用户数据修改用户管理商家管理菜品分类菜品信息管理餐桌.zip
12-01
基于JavaVue技术构建的现代化自助点餐系统_包含餐厅员工管理员客人三种身份角色支持点餐前台后台管理功能涵盖首页个人中心用户数据修改用户管理商家管理菜品分类菜品信息管理餐桌.zip
ctf似乎是个加密“倒计时最后一天
09-13
CTF竞赛中常见的加密方式有多种,以下为你介绍几种不同加密方式对“倒计时最后一天”进行加密的示例。 ### RSA加密 RSA是一种经典的非对称加密算法。参考示例中的Python代码,在实际应用时需先生成大素数 `p` `q`,计算模数 `n`、欧拉函数 `s`、公钥指数 `e` 私钥指数 `d`,再使用公钥对明文进行加密。 ```python import gmpy2 from Crypto.Util.number import bytes_to_long # 示例中的 p、q、e p = 0xEB4360DF0E0C824D57AE20700BBF6C1BA8324A94DB7B3608DDA40DE07A59082F q = 0xA5B8BA7304F15C70BA82FF60F8A4A5F156ED04896EC94A7E99B96B4E11727A8F e = 0x10001 n = p * q s = (p - 1) * (q - 1) d = gmpy2.invert(e, s) # 将明文转换为整数 plaintext = "倒计时最后一天" m = bytes_to_long(plaintext.encode()) # 加密 c = pow(m, e, n) print("加密后的密文: ", c) ``` ### Base64编码 Base64是一种常见的编码方式,可将二进制数据编码为ASCII字符。Python中可使用`base64`库进行编码。 ```python import base64 plaintext = "倒计时最后一天" encoded_bytes = base64.b64encode(plaintext.encode()) encoded_text = encoded_bytes.decode() print("Base64编码后的结果: ", encoded_text) ``` ### 凯撒密码 凯撒密码是一种简单的替换加密方法,将字母按照一定的偏移量进行替换。 ```python def caesar_encrypt(text, shift): encrypted = "" for char in text: if char.isalpha(): ascii_offset = ord('A') if char.isupper() else ord('a') encrypted += chr((ord(char) - ascii_offset + shift) % 26 + ascii_offset) else: encrypted += char return encrypted plaintext = "倒计时最后一天" shift = 3 # 偏移量 encrypted_text = caesar_encrypt(plaintext, shift) print("凯撒密码加密后的结果: ", encrypted_text) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值