打开题目如图所示
还是对CTF套路不太熟悉,拿到这种就以为是sql注入,启动sqlmap就一顿操作。
(都大。。。。。。。。。了,搞竞赛还来得及吗??????)
参考别人的wp后知道是源码泄露
这里就不给服务器增加负担了,直接搬运:
http://01289a96-1759-4f8d-ae5b-36c66c8da4fb.node4.buuoj.cn:81/index.php.swp
<?php
ob_start();
```php
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8"); //应该是要求请求头要这样
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) { //大致意思就是请求参数password的哈希值前六位=6d0bc1就得到解
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
参考脚本(https://www.cnblogs.com/hell0w/p/7505507.html)
#-*- coding:utf-8 -*-
#脚本功能:生成以指定字符为开头的md5值(6位数字)
import hashlib
import random
def encryption(chars):
return hashlib.md5(chars).hexdigest()
def generate():
return str(random.randint(99999,1000000))
def main():
start = "6d0bc1"
while True:
strs = generate()
print "Test %s " % strs
if encryption(strs).startswith(start):
print "yes!"
print "[+] %s " % strs + "%s " % encryption(strs)
break
else:
print "no!"
if __name__ == '__main__':
main()
print '完成!'
注意:脚本用Python2跑,python3硬是没调通
还有,跑这个也是跑半天没跑出来,从https://blog.csdn.net/weixin_45642610/article/details/115689130这儿抄了一个:2020666
username=1&password=2020666
响应包:
此处利用Apache SSI 远程命令执行漏洞
shtml与ssi指令
百度百科:shtml和asp 有一些相似,以shtml命名的文件里,使用了ssi的一些指令,就像asp中的指令,你可以在SHTML文件中写入SSI指令,当客户端访问这些shtml文件时,服务器端会把这些SHTML文件进行读取和解释,把SHTML文件中包含的SSI指令解释出来。
ssi指令的作用?
显示服务器端环境变量<#echo>
将文本内容直接插入到文档中<#include>
显示WEB文档相关信息<#flastmod #fsize> (如文件制作日期/大小等)
直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)
设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)
高级SSI可设置变量使用if条件语句。
1、可知,username值即为ssi命令注入点
username= &password=2020666
2、然后访问响应包给出的Url_is_here
再username= &password=2020666
访问响应包给出的Url_is_here,bingo!
1、这次最大的收获还是如何生成指定字符开头的md5值
2、shtml与ssi指令
参考:
1、md5前六位
https://www.cnblogs.com/hell0w/p/7505507.html
2、百度百科