easy_search

玩了好些天，今天做道题找找状态，明天开始肝了

打开是一个登录框

用amdin/admin尝试了一下，提示登陆失败

这里肯定不会是暴力破解，我猜是sql注入，试了万能密码or 1=1和md5对比username=union select admin,xxxx(pass的md5) from xxx&password=pass，都不行

所以想到去找一下源码，先去看了robots.txt，404 又试了index.php的常见备份文件后缀，发现/index.php.swp可以访问，拿到源码

审计一下源码（嗯，不是sql注入

<?php

	ob_start();

	function get_hash(){

		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';

		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times

		$content = uniqid().$random;

		return sha1($content);

	}

    header("Content-Type: text/html;charset=utf-8");

	***

    if(isset($_POST['username']) and $_POST['username'] != '' )

    {

        $admin = '6d0bc1';

        if ( $admin == substr(md5($_POST['password']),0,6)) {

            echo "<script>alert('[+] Welcome to manage system')</script>";

            $file_shtml = "public/".get_hash().".shtml";

            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");

            $text = '

            ***

            ***

            <h1>Hello,'.$_POST['username'].'</h1>

            ***

			***';

            fwrite($shtml,$text);

            fclose($shtml);

            ***

			echo "[!] Header  error ...";

        } else {

            echo "<script>alert('[!] Failed')</script>";

    }else

    {

	***

    }

	***

?>

11行：username不为空，
14行：password的md5值的前6位等于6d0bc1，这里用python脚本跑（按六位数字跑就可以，我得到的是2020666
21行：username的值会被写入shtml文件，以前没有见过shtml文件，去搜了一下：包含有服务器命令的文本，会在发送给浏览器之前，自动读取执行（百度百科），emmmm，那么就把命令写到username里，注入到shtml文件，然后再访问文件（文件名是四位随机字符的sha1值，这没法爆破哇，，，后边再看这个，先做着）

先过md5