[BJDCTF2020]EasySearch1 不会编程的崽

先来看看界面

[BJDCTF2020]EasySearch1 不会编程的崽_第1张图片

源代码,抓包似乎都没什么线索,sql注入没什么反应。用dirsearch扫描3遍也没什么结果。。。

最后使用dirmap才发现了网站源码文件。真够隐蔽的。

index.php.swp

[BJDCTF2020]EasySearch1 不会编程的崽_第2张图片  

[BJDCTF2020]EasySearch1 不会编程的崽_第3张图片 

源码也很简单,大概分为两层意思

1.username存在即可,password经过md5加密后的前6位必须是6d0bc1。

2.会利用get_shtml函数生成一个public文件夹下的shtml文件,并将内容写入。

先来破解第一层。这里似乎不能绕过。那就看看能否碰撞吧,上python

import hashlib
for i in range(1,100000000000000000):
    j=str(i)
    md5_1=hashlib.md5(j.encode())
    hash_1=md5_1.hexdigest()
    if hash_1[0:6] == '6d0bc1':
        print(i)
        print(hash_1)
        break

[BJDCTF2020]EasySearch1 不会编程的崽_第4张图片 

密码已经跑出来了"2020666"

尝试登录 

[BJDCTF2020]EasySearch1 不会编程的崽_第5张图片 

又来到一个什么都没有的界面。但是源代码提示,存在一个public下的路径,文件名是hsah生成的,肯定没法爆破。需要知道路径。在抓包试试看吧 

[BJDCTF2020]EasySearch1 不会编程的崽_第6张图片

果然在这。打开看一下 

[BJDCTF2020]EasySearch1 不会编程的崽_第7张图片 

这个1就是我输入的用户名,既然它有回显,这里也没有其他可控制的变量,这里多半就是注入点。

这里就涉及到shtml上的ssl注入。

SSI(server side inject)的出现是为了赋予HTML静态页面动态的效果,通过SSI来执行系统命令;并返回对应的结果。 

语法:。所以将用户名设置成上述语法登录即可!!!

先查看一下根目录与当前目录下的文件,都没有flag!!!

先查找一下flag在哪个路径下

[BJDCTF2020]EasySearch1 不会编程的崽_第8张图片 

原来就在html目录下

[BJDCTF2020]EasySearch1 不会编程的崽_第9张图片 

ok,拿下 

你可能感兴趣的:(安全,网络安全,web安全)