当前位置：网站首页>[BJDCTF2020]EasySearch

[BJDCTF2020]EasySearch

2022-08-05 03:52:00 【pakho_C】

[BJDCTF2020]EasySearch
在这里插入图片描述
一个登陆页面，尝试了弱口令爆破注入无果
扫描目录发现index.php.swp

<?php
	ob_start();
	function get_hash(){
    
		$chars = '[email protected]#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
    
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
    
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = ' *** *** <h1>Hello,'.$_POST['username'].'</h1> *** ***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header error ...";
        } else {
    
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
    
	***
    }
	***
?>

代码审计：

if(isset($_POST['username']) and $_POST['username'] != '' )
    {
    
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
    
            echo "<script>alert('[+] Welcome to manage system')</script>";

只要密码的md5值的前6位为6d0bc1即可登陆成功
参考爆破密码脚本：

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()#获取摘要值
    if a[0:6] == '6d0bc1':
        print("find password!"+str(i))
        break

在这里插入图片描述
得到密码为 2020666

接着看到shtml页面
在这里插入图片描述
SSI注入参考：SSI注入
代码中生成了一个shtml页面，登陆后无法查看，抓包观察返回包：

访问该页面：

得到登陆信息

这里用到shtml，HTML是静态的，而shtml基于SSI技术，当有服务器端可执行脚本时被当作一种动态编程语言，所以可以注入，也可以用来远程命令执行。

它的注入格式是这样的：
所以只需要将username设置为payload即可
首先探测根目录：
在这里插入图片描述

根目录没有，那查看当前目录：
也没有
查看上级目录：

找到flag文件
查看flag：username=&&password=2020666