CTFHub-easy_search

easy_search

玩了好些天，今天做道题找找状态，明天开始肝了

打开是一个登录框

用amdin/admin尝试了一下，提示登陆失败

这里肯定不会是暴力破解，我猜是sql注入，试了万能密码or 1=1和md5对比username=union select admin,xxxx(pass的md5) from xxx&password=pass，都不行

所以想到去找一下源码，先去看了robots.txt，404 又试了index.php的常见备份文件后缀，发现/index.php.swp可以访问，拿到源码

审计一下源码（嗯，不是sql注入

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content);
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";

    }else
    {
	***
    }
	***
?>

• 11行：username不为空，
• 14行：password的md5值的前6位等于6d0bc1，这里用python脚本跑（按六位数字跑就可以，我得到的是2020666
• 21行：username的值会被写入shtml文件，以前没有见过shtml文件，去搜了一下：包含有服务器命令的文本，会在发送给浏览器之前，自动读取执行（百度百科），emmmm，那么就把命令写到username里，注入到shtml文件，然后再访问文件（文件名是四位随机字符的sha1值，这没法爆破哇，，，后边再看这个，先做着）

先过md5

然后什么都没有了？？？

看了下数据包，有一个隐藏的url

直接访问，发现里面是username，时间和ip

在百科里面有shtml的cmd调用方法

<!--#exec cmd=""-->

先试试ls

可以正常调用，剩下的就是挨着找了

查看其他目录下的文件可以用 ls /目录 也可以 cd xx && ls（&&需要编码为%26

找到了flag位置，在public/../flag_xxxxx

直接访问就能拿到flag