【愚公系列】2023年06月 Bugku-Web(Simple_SSTI_1)_simple ssti 1

于 2024-05-13 10:32:39 发布
阅读量870 收藏 12
点赞数 8
分类专栏: 程序员 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973202/article/details/138791955
版权

前言

Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。Flask提供了基本的Web开发所需的组件,如路由、请求和响应处理、会话管理、模板渲染等,同时还支持各种第三方扩展和插件,可以轻松地实现各种复杂的Web应用开发。Flask框架也因其灵活性和简易性而广受欢迎,被许多Web开发者用于构建Web应用和API。Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。Flask提供了基本的Web开发所需的组件,如路由、请求和响应处理、会话管理、模板渲染等,同时还支持各种第三方扩展和插件,可以轻松地实现各种复杂的Web应用开发。Flask框架也因其灵活性和简易性而广受欢迎,被许多Web开发者用于构建Web应用和API。

SSTI(Server-Side Template Injection)是一种安全漏洞,可以利用模板引擎解析器来执行恶意代码。在Flask框架中,如果使用了Jinja2模板引擎,并且没有正确地过滤用户输入的数据,攻击者可以通过构造特殊的payload,在模板渲染过程中执行任意代码,从而实现代码注入和服务器接管等攻击。因此,在使用Flask框架时,应该避免SSTI漏洞的出现,可以通过使用可信的模板、过滤用户输入和限制模板变量的范围等方式来加强应用的安全性。SSTI(Server-Side Template Injection)是一种安全漏洞,可以利用模板引擎解析器来执行恶意代码。在Flask框架中,如果使用了Jinja2模板引擎,并且没有正确地过滤用户输入的数据,攻击者可以通过构造特殊的payload,在模板渲染过程中执行任意代码,从而实现代码注入和服务器接管等攻击。因此,在使用Flask框架时,应该避免SSTI漏洞的出现,可以通过使用可信的模板、过滤用户输入和限制模板变量的范围等方式来加强应用的安全性。

SSTI(模板注入攻击)的渗透基本流程如下:

  1. 收集目标信息:了解目标网站的架构和框架,尽可能多地获取目标信息。
  2. 寻找潜在漏洞:在目标网站的表单提交、URL 参数传递、cookie 等地方寻找可注入的地方。
  3. 构造 Payload:根据目标网站的框架和语言,构造适合的 Payload,通常会使用一些特殊的字符或语句来触发模板注入漏洞。
  4. 执行 Payload:通过将 Payload 插入到目标点,执行 Payload,获取回显结果。
  5. 分析回显结果:根据回显结果来判断注入是否成功,如果成功了,则可以继续进一步操作。
  6. 利用漏洞:利用模板注入漏洞进一步获取用户信息、执行任意代码等操作。
  7. 清理痕迹:在攻击结束后,清理所有痕迹,尽量减少留下任何迹象的可能,以免被发现。

以下是一些SSTI(模板注入攻击)的渗透相关案例:

  1. Uber 2018年遭受了SSTI攻击,攻击者成功利用了Flask模板注入漏洞,导致其暴露了大量的客户数据。
  2. 2019年初,电子支付系统Paytm遭受了SSTI攻击,攻击者成功利用了模板注入漏洞,可以在未经授权的情况下访问支付宝的授权令牌,并转移资金。
  3. 2018年,美国国家足球联盟(NFL)的官方应用程序遭受了SSTI攻击,攻击者成功利用了模板注入漏洞,在NFL的服务器上执行了任意代码。
  4. 2017年,互联网安全公司Cloudflare被发现存在SSTI漏洞,攻击者可以通过注入恶意代码在Cloudflare服务器上执行任意代码。
  5. 2019年初,澳大利亚政府机构Transport for NSW的网站遭遇了SSTI攻击,攻击者通过注入恶意代码,成功地访问了目标服务器的内部文件,包括数据库访问凭证和敏感数据。

一、Simple_SSTI_1

1.题目

在这里插入图片描述

2.答题

点击链接进入,题目说:
在这里插入图片描述

You need pass in a parameter named flag。(你需要传入一个名为flag的参数)然后我们可以直接f12查看,也可以右击页面—>“检查”
在这里插入图片描述

flask的模板注入:(注意:这里的SECRET_KEY需要大写)

/?flag={{config}}

答案如下:

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84973202
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android_应用框架原理与程序设计
07-29
※ 第一篇:介紹應用框架概念、原理和特性。 ※ 第二篇:闡述應用框架之設計技巧。亦即,如何打造應用框架。...筆者並不是說Android 的應用程式師是愚公,而旨在說明手機軟體領域的三個主 要分工角色:
AstroCanvas-智慧充电桩-1-0-1684230939576.rar
07-04
"AstroCanvas-智慧充电桩-1-0-1684230939576.rar"这一文件名揭示了我们讨论的主题——一款基于物联网技术的智能充电桩系统。AstroCanvas可能是一个品牌或项目名称,而"智慧充电桩"则暗示了这是一个与电动汽车充电...
BugKuSimple_SSTISSTI模板注入)
热门推荐
m0_54082441的博客
05-01 1万+
1.签到题 这个题相当easy了,只要按照描述来做,便能得到flag,答案如下: flag{BugKu-Sec-pwn!} 2.Simple_SSTI_1(SSTI模板注入) 点击链接进入,题目说: You need pass in a parameter named flag。(你需要传入一个名为flag的参数)然后我们可以直接f12查看,也可以右击页面--->“检查” 如图所示,我们会得到相关的提示,根据提示信息,我们利用flask的模板注入,就能直接得到flag。
BugkuSimple_SSTI_1(小宇特详解)
小宇的web博客
06-17 2559
BugkuSimple_SSTI_1 1.很简单的模板注入,直接f12查看(这里有查看源码的快捷键ctrl+u) 2.这里了解了一下什么是模板注入 这里针对的是flask模板,config是flask模板中的一个全局对象。包含了所有应用程序的配置值。 这里直接在url中写上?flag={{config.SECRET_KEY}} ...
BugKuSimple_SSTI_1WEB详细解析
weixin_52219258的博客
01-13 1136
Simple_SSTI_1解析
愚公系列202306 Bugku-WebSimple_SSTI_1)
时光隧道
06-22 5998
Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。Flask提供了基本的Web开发所需的组件,如路由、请求和响应处理、会话管理、模板渲染等,同时还支持各种第三方扩展和插件,可以轻松地实现各种复杂的Web应用开发。Flask框架也因其灵活性和简易性而广受欢迎,被许多Web开发者用于构建Web应用和API。Flask是一个使用Python编写的轻量级Web应用框架。它的设计目标是简单明了,易于扩展和维护。
bugku中的web
m0_62619269的博客
05-20 703
Simple_SSTI_1 先来简单看一下什么是SSTI模板注入 {{ … }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% … %}:装载一个控制语句。 {# … #}:装载一个注释,模板渲染的时候会忽视这中间的值 很简单的模板注入,查看页面源代码 很明显,flag在secret_key下。最下面说在flas k里,我们经常建立一个SECRET_KEY,上方模板注入,直接访问URL+?flag={undefined{ config .SECRET_KEY}}得到f
Unit_6_An_old_man_tried_to_move_the_mountains.教学设计.docx
06-25
5. Reading:Read the questions in the box in 1c. Ss discuss the questions with their partners. 本教学设计旨在通过多种教学策略和方法来帮助学生学习英语,掌握新的语言技能和语言知识,并提高自己的语言能力...
愚公学堂-时间管理-crx插件
04-04
愚公学堂-时间管理-crx插件】是一款专为中文用户设计的高效时间管理工具,旨在帮助用户更好地规划和追踪他们的日常任务和目标。这款插件采用了CRX格式,这是一种用于Chrome浏览器扩展程序的打包格式,使得用户可以...
ILSpy_binaries_5.0.0.5124.zip
05-22
1. **ILSpy.exe.config**:这是ILSpy主程序的配置文件,用于设置应用程序的运行时行为。它可以包含如日志记录级别、用户界面语言选择等自定义配置。 2. **ICSharpCode.Decompiler.dll**:这是ILSpy的核心组件,负责...
BUGKU-simple_SSTI_1漏洞注入
kingx3的博客
10-08 279
SSTI全称Server side template injection.服务端模板注入这节课主要讲flask的模板注入.flask会把类似于 的变量当做参数来渲染并填充到web页面,如果该参数可控并被后台解析则有可能被注入恶意代码导致注入漏洞请注意 模板注入只会存在于二次渲染中,无二次渲染不会出现模板注入。
ctf bugku
weixin_51387754的博客
08-13 1860
bugkuSimple_SSTI_1社工-进阶收集Simple_SSTI_2Flask_FileUpload1和0的故事easy_nbt留言板瑞士军刀入门逆向滑稽canarytelnet眼见非实啊哒/.-聪明的小羊ok[+-<>] Simple_SSTI_1 查看源码 You need pass in a parameter named flag。 You know, in the flask, We often set a secret_key variable 您需要传入一个名为flag
Simple_SSTI_1与Simple_SSTI_2
heyingcheng的博客
10-17 3024
#__globals__[] 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。flask是一个使用Python编写的轻量级Web应用框架(一种开发框架,用来支持动态网站,网络应用程序及网络服务的开发。3,SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用,加密的强度取决于变量值的机密度,不同的程序使用不同的密钥。于是猜测flag是否藏在某一个文件夹中,于是尝试用ls列举出文件夹中的文件一下。
BUGKU-WEB Simple_SSTI_1
最新发布
天泽岁月
02-04 2199
BUGKU 第02题
bugku web刷题记录(持续更新)
m0_52672533的博客
11-28 787
Simple_SSTI_1 首先看这个题目名字,ssti,很明显是模板注入,首先我们可以测试下 没有问题,那么我们该如何获取flag呢,首先做题先看源码 我们需要了解在语法中只需要使用config.SECRET_KEY就可以获取这个字段的值,于是构造payload为?flag={{ config SECRET_KEY }}即可 Simple_SSTI_2 看题目。难度肯定上升了,这些内容我都是边做边学,所以感觉挺难的。查看源代码没有任何提示。老样子,继续测试 ...
Simple_SSTI_1-WEB-bugku-解题步骤
weoptions的博客
12-02 1104
——CTF解题专栏——分享我的解题过程
Bugku CTF——WEBSSTI学习笔记
qq_51096893的博客
12-19 4286
目录 知识前提 一.题目 二 .理解和学习 三.总结 我们在作为新手去开始进行这些题目的联系的时候只知道一些操作,而不知道原理,这里为新手简单介绍一些SSTI的概念和操作。 知识前提 我们通过实例去一起学习。学习这个之前,我们要知道以下几点: (1)什么是CTF(Capture The Flag) (2)CTF题目类型(我们今天讲解的是WEB类型中注入问题): 1.MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.P.
bugku--Simple_SSTI_1---2
qq_51802152的博客
12-14 544
bugku--Simple_SSTI_1---2
CTF每日刷题
YHXSunny123456789的博客
04-26 368
在地址栏中继续输入flag={{ config.SECRET_KEY}},之后转跳得到flag。
程序员对自己2023的计划范文
09-21
### 回答1: 作为一名程序员,我在2023对自己的计划包括: 1. 不断学习和提升技能:我会继续学习新的编程语言和框架,以及不断提高编码能力。 2. 参加行业相关的培训和会议:我会参加各种行业相关的培训课程和会议,以便获得最新的行业知识和技能。 3. 参加项目并积累经验:我会参加各种项目,以便积累丰富的经验,并提升个人能力。 4. 在业内建立良好的人脉关系:我会努力与业内的同行建立良好的人脉关系,并与他们保持联系。 5. 寻找更好的发展机会:我会不断寻找更好的发展机会,以便在职业生涯中取得更大的成功。 总之,我在2023会努力工作,不断学习和提升,并寻找更好的发展机会,以在职业生涯中取得更大的成功。 ### 回答2: 2023的计划对于我作为一名程序员来说十分重要,我希望能够提升自己的技能水平并取得更好的职业发展。以下是我的计划: 首先,我计划继续学习并掌握新的编程语言和技术。随着科技的不断发展,编程语言和技术也在不断更新换代,作为一名程序员,保持学习的状态是必不可少的。我将花费更多的时间学习目前主流的编程语言,如Python、Java等,并尝试掌握最新的前端和后端技术。通过不断学习,我希望能够拥有更广泛的技术视野和更强大的技术能力。 其次,我计划参与更多的项目和实践。在理论学习之外,实践是提升技能的关键。我计划积极寻找项目机会,无论是个人项目还是团队项目,都可以提供宝贵的实践机会。通过参与各种项目,我可以锻炼解决问题的能力,提高编码和协作能力。同时,我也希望通过实践中的挑战和失败,不断完善自己,进一步提高自己的技术水平和经验。 第三,我计划参加相关的培训和技术交流活动。参加培训和技术交流活动可以与其他程序员交流和学习,了解行业最新动态和趋势。我计划参加各种技术研讨会、讲座和培训班,通过与行业专家和其他程序员的交流,深入了解各种编程技术和最佳实践。同时,我也希望能够积极参与技术社区,与其他程序员分享自己的经验和见解,不断提高自己的影响力和口碑。 最后,我计划在个人项目和开源社区上做出更多的贡献。通过自己的努力,我希望能够在个人项目中实现一些有意义的功能或解决一些实际问题,并将其开源。通过开源社区的贡献,我可以帮助他人解决问题,同时也能够借助其他人的反馈和指导,不断改进自己的代码和设计能力。 总之,2023对于我作为一名程序员来说是充满挑战和机遇的一。我将不懈努力,持续学习和实践,不断提升自己的技能水平和职业发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值