先来看看界面
源代码,抓包似乎都没什么线索,sql注入没什么反应。用dirsearch扫描3遍也没什么结果。。。
最后使用dirmap才发现了网站源码文件。真够隐蔽的。
index.php.swp
源码也很简单,大概分为两层意思
1.username存在即可,password经过md5加密后的前6位必须是6d0bc1。
2.会利用get_shtml函数生成一个public文件夹下的shtml文件,并将内容写入。
先来破解第一层。这里似乎不能绕过。那就看看能否碰撞吧,上python
import hashlib
for i in range(1,100000000000000000):
j=str(i)
md5_1=hashlib.md5(j.encode())
hash_1=md5_1.hexdigest()
if hash_1[0:6] == '6d0bc1':
print(i)
print(hash_1)
break
密码已经跑出来了"2020666"
尝试登录
又来到一个什么都没有的界面。但是源代码提示,存在一个public下的路径,文件名是hsah生成的,肯定没法爆破。需要知道路径。在抓包试试看吧
果然在这。打开看一下
这个1就是我输入的用户名,既然它有回显,这里也没有其他可控制的变量,这里多半就是注入点。
这里就涉及到shtml上的ssl注入。
SSI(server side inject)的出现是为了赋予HTML静态页面动态的效果,通过SSI来执行系统命令;并返回对应的结果。
语法:<!--#exec cmd="ls"-->。所以将用户名设置成上述语法登录即可!!!
先查看一下根目录与当前目录下的文件,都没有flag!!!
先查找一下flag在哪个路径下
<!--#exec cmd="find / -name flag*"-->
原来就在html目录下
<!--#exec cmd="tac /var/www/html/flag_990c66bf85a09c664f0b6741840499b2"-->
ok,拿下