一个登录框

可能是sql注入，先万能密码测一下，发现不行

扫一下目录，发现：/index.php.swp

	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            
Hello,'.$_POST['username'].'
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "";
            
    }else
    {
	***
    }
	***
?>

重点看

if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "";

POST传入的password的前6位进行md5加密后等于6d0bc1

脚本：

import hashlib
 
for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()
 
    if a[0:6]=='6d0bc1':
        print(i)
        break

运行结果：

2020666

传参抓包

访问public/c563b2bc56e767ad0c7bd8e9353ddbb9aa662002.shtml

回显了前面输入的username，可能是我们的利用点

这题思路是利用“Apache SSI远程命令执行漏洞”

SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。

从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意代码。

当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用语法执行命令。

题目中username被写入了shtml文件，就可以将username改为

不在当前目录，查看上一目录

 

访问flag_990c66bf85a09c664f0b6741840499b2

得到flag