代码审计后的SSI注入漏洞

[BJDCTF2020]EasySearch

首先就是dirsearch扫描，用dirsearch的前提一定是前端看不到啥东西了，呢就不用猜，绝对有一些隐藏文件。
然后dirsearch就扫描出来了index;php.swp文件。。。
然后就看到了源码 进行代码审计

[<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            
Hello,'.$_POST['username'].'
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "";
            
    }else
    {
	***
    }
	***
?>

代码审计 就是bcusername可以随便写 ，但是 password的前六位必须要md5加密是6d0bc1
python爆破 脚本如下：

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if a[0:6] == '6d0bc1':
        print(i,a)

运行结果

2020666 6d0bc1153791aa2b4e18b4f344f26ab4
2305004 6d0bc1ec71a9b814677b85e3ac9c3d40
9162671 6d0bc11ea877b37d694b38ba8a45b19c

然后进行登录
登录之后，前端认真找找

发现一个url here

知识点：SSI注入漏洞
SSI 注入全称Server-Side Includes Injection，即服务端包含注入。SSI 是类似于 CGI，用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。

SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。

从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意代码。

显示服务器端环境变量<#echo>
本文档名称：



现在时间：



显示IP地址：



将文本内容直接插入到文档中<#include>

注：file包含文件可以在同一级目录或其子目录中，但不能在上一级目录中，virtual包含文件可以是Web站点上的虚拟目录的完整路径

显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)
文件最近更新日期：



文件的长度：



④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)

回归本题

通过

命令查看回显

看到ls的文件目录

看上一级目录

最后的命令查看flag

好了好了 累死了 晚上轮滑去
妈咦 溜了 你们自学把