CTFHub-easy_search
2024-10-21 17:26:13
easy_search
玩了好些天,今天做道题找找状态,明天开始肝了
打开是一个登录框
用amdin/admin尝试了一下,提示登陆失败
这里肯定不会是暴力破解,我猜是sql注入,试了万能密码or 1=1
和md5对比username=union select admin,xxxx(pass的md5) from xxx&password=pass
,都不行
所以想到去找一下源码,先去看了robots.txt,404 又试了index.php的常见备份文件后缀,发现/index.php.swp
可以访问,拿到源码
审计一下源码(嗯,不是sql注入
<?php
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
- 11行:username不为空,
- 14行:password的md5值的前6位等于6d0bc1,这里用python脚本跑(按六位数字跑就可以,我得到的是
2020666
- 21行:username的值会被写入shtml文件,以前没有见过shtml文件,去搜了一下:
包含有服务器命令的文本,会在发送给浏览器之前,自动读取执行
(百度百科),emmmm,那么就把命令写到username里,注入到shtml文件,然后再访问文件(文件名是四位随机字符的sha1值,这没法爆破哇,,,后边再看这个,先做着)
先过md5
然后什么都没有了???
看了下数据包,有一个隐藏的url
直接访问,发现里面是username,时间和ip
在百科里面有shtml的cmd调用方法
<!--#exec cmd=""-->
先试试ls
可以正常调用,剩下的就是挨着找了
查看其他目录下的文件可以用 ls /目录
也可以 cd xx && ls
(&&需要编码为%26
找到了flag位置,在public/../flag_xxxxx
直接访问就能拿到flag
最新文章
- checkbox做全选按钮
- Android开发:在布局里移动ImageView控件
- 【前台 】字符串和js对象的相互转化
- Hibernate注解映射sequence时出现无序增长问题+hibernate 映射 oracle ID自动增长:
- 使用集成的ADT bundle来搭建android开发环境
- mac os安装基本的install环境,命令行安装软件
- C#数组的排序(正序逆序)
- [转]select模型的一种技巧运用-libevent
- [原]loadrunner中数据库数据参数化
- String源码
- Java 加密、解密PDF文档
- Manjaro搭建无密访问samba服务器
- [Shell]Bash变量:自定义变量 &; 环境变量 &; 位置参数变量 &; 预定义变量
- Python3实战系列之六(获取印度售后数据项目)
- LUA重难点解析
- jQuery-全屏滚动插件【fullPage.js】API 使用方法总结
- Vue-axios快速上手(转)
- 微信退款证书使用c#
- 小学四则运算结对项目报告【GUI】
- Bash编程(5) Shell方法
热门文章
- python stats画正态分布、指数分布、对数正态分布的QQ图
- 现代c++模板元编程:遍历tuple
- Scientific Internet Access
- 攻防世界 reverser secret-galaxy-300
- Java系列教程-MyBatis 3.5.5 教程目录
- 如何使用Topshelf与.NET泛型主机建立Windows服务
- 第30 章 : 理解 RuntimeClass 与使用多容器运行时
- [图论]牛的旅行 Cow Tours :Floyed-Warshall
- Istio最佳实践系列:如何实现方法级调用跟踪?
- OO第二单元——电梯作业总结