[BJDCTF2020]EasySearch1 不会编程的崽

先来看看界面

源代码，抓包似乎都没什么线索，sql注入没什么反应。用dirsearch扫描3遍也没什么结果。。。

最后使用dirmap才发现了网站源码文件。真够隐蔽的。

index.php.swp

  

 

源码也很简单，大概分为两层意思

1.username存在即可，password经过md5加密后的前6位必须是6d0bc1。

2.会利用get_shtml函数生成一个public文件夹下的shtml文件，并将内容写入。

先来破解第一层。这里似乎不能绕过。那就看看能否碰撞吧，上python

import hashlib
for i in range(1,100000000000000000):
    j=str(i)
    md5_1=hashlib.md5(j.encode())
    hash_1=md5_1.hexdigest()
    if hash_1[0:6] == '6d0bc1':
        print(i)
        print(hash_1)
        break

 

密码已经跑出来了"2020666"

尝试登录 

 

又来到一个什么都没有的界面。但是源代码提示，存在一个public下的路径，文件名是hsah生成的，肯定没法爆破。需要知道路径。在抓包试试看吧 

果然在这。打开看一下 

 

这个1就是我输入的用户名，既然它有回显，这里也没有其他可控制的变量，这里多半就是注入点。

这里就涉及到shtml上的ssl注入。

SSI(server side inject)的出现是为了赋予HTML静态页面动态的效果，通过SSI来执行系统命令；并返回对应的结果。 

语法:。所以将用户名设置成上述语法登录即可！！！

先查看一下根目录与当前目录下的文件，都没有flag！！！

先查找一下flag在哪个路径下

 

原来就在html目录下

 

ok,拿下