BUUCTF [BJDCTF2020]EasySearch

Amsterdamnit / 2023-09-06 / 原文

F12、SQL注入、robots.txt、抓包都没发现啥。题目名是EasySearch，可能是扫描网站。
但是我用dirsearch什么都没跑出来。看别人WP发现有个index.php.swp。
得到PHP源码：

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ($admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

关键点在，密码的MD5值的前六位需要等于6d0bc1。
编写脚本爆破：

import hashlib
import threading

thread_ = threading.Semaphore(30)

def abc(left,right):
    thread_.acquire()
    admin = '6d0bc1'
    for i in range(left, right):
        s = hashlib.md5(str(i).encode('utf-8')).hexdigest()
        if s[:6] == admin:
            print(i)
    thread_.release()


if __name__ == '__main__':
    thread_list = []
    thread_count = 5 # 分组
    for i in range(thread_count):
        t = threading.Thread(target=abc, args=(i*2000000,(i+1)*2000000))
        thread_list.append(t)
    
    for t in thread_list:
        t.start()
    for t in thread_list:
        t.join()

得到可用密码：

2020666
2305004
9162671

输入账户名admin和密码进入系统，发现在响应头中有

Url_is_here:public/a6218d90d88caf08e78eeed8b9c1baafad25d5ae.shtml

看到shtml应该要想到Apache SSI 远程命令执行漏洞

shtml是一种用于SSI技术的文件——Server Side Include--SSI。
SSI是为WEB服务器提供的一套命令，这些命令只要直接嵌入到HTML文档的注释内容之中即可。

然后利用shtml的命令执行，可控参数是username
payload1：username=&password=9162671

payload2：username=&password=9162671

得到flag{a6b6a42a-7ae2-44f0-a156-83494c51a4bf}

参考链接：
https://blog.csdn.net/devilare/article/details/119351945
https://blog.csdn.net/qq_41628669/article/details/106133112

BUUCTF [BJDCTF2020]EasySearch更多相关文章

今日报告-66

设置Windows10暂停更新3000天

AQS公平锁的流程

AMD锐龙7 7800X3D网游专项测试：竟比i9-13900KS强了15%

常用总线技术基本参数对比

探索图像数据中的隐藏信息：语义实体识别和关系抽取的奇妙之旅

设置Chrome浏览器自动升级

JavaScript – 小技巧 Tips

postgresql在插入数据后怎么获取自增id

EF Core 的基本使用

error: failed to push some refs to 'https://github.com/*******/********.github.io.git'

欧拉降幂

编程语言能力对比

基于机器视觉的小车轨迹控制软件界面展示

随机推荐

一些学科笑话

NOIP2024模拟赛20 & 11.1 小记

20241101 数据结构与算法期中机试收获

Java，启动！

什么是IT技术

即将到来！

2024/11/1日日志关于JavaScript简介&引入方式以及基础语法的学习

舍得-时间-工作是人的一生最重要的事情-自己要有私房钱-人的一生最重要的事情是书写自己的人生

2.TiUP 部署 DM 集群

原型模式的C++实现

python bytecode解析

09-XSS键盘监听、cookie窃取&文件上传绕过

ubuntu 24.04 部署 mysql 8.4.3 LTS

国标GB28181公网平台LiteGBS国标GB28181视频平台建筑工地无线视频联网监控系统方案

imes完工下线

android 13 更改手机信号调整

BFS(Breath First Search 广度优先搜索)

Visual Studio Code（VSCode）中设置中文界面

影响黄金价格大幅波动的因素主要有哪些？

winform用Dev的TreeList滚动到指定节点的位置

BUUCTF [BJDCTF2020]EasySearch

BUUCTF [BJDCTF2020]EasySearch更多相关文章

随机推荐

热门话题