buuctf_练[CSCCTF 2019 Qual]FlaskLight

最新推荐文章于 2024-05-17 18:09:12 发布
最新推荐文章于 2024-05-17 18:09:12 发布
阅读量667 收藏 1
点赞数 3
分类专栏: buuctf刷题 文章标签: 笔记 python 其他 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/134081443
版权

[CSCCTF 2019 Qual]FlaskLight

文章目录

掌握知识

内置函数的过滤,globals变量的过滤,调用内部变量或函数的OS函数进行命令执行

解题思路

  1. 打开题目链接,很明显看标题和内容是flask模块的ssti模板注入了,查看源码,发现了传参的参数和请求方法

image-20231014201036292

image-20231014201039320

  1. 先测试一下{{7*7}},正常返回49,证明存在ssti模板注入

image-20231014201107786

  1. 直接使用内置函数url_for调用其内部的OS函数来进行命令执行,但发现页面报错500,看来多半是有过滤了,直接执行url_for也报错,证明过滤了url_for,测试config成功返回内容

image-20231014201223373

image-20231014201228659

  1. 尝试调用config的内部OS命令,但依旧报错,还有过滤,再次测试发现是globals被过滤了

image-20231014201333782

image-20231014201347917

image-20231014201405747

  1. 使用命令拼接,将globals分成两半拼接一起就能绕过过滤了['__glo'+'bals__'],只不过必须使用[]的字典键值访问的形式,不能用.的形式了

image-20231014201549802

  1. 查看根目录发现了flag文件,但是cat返回为空,以为命令被过滤了,后面才察觉原来是个目录,cd到文件下,查看到了flagapp.py源码,拿下flag

image-20231014201706314

image-20231014201709024

image-20231014201713025

关键paylaod

{{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls').read()}}
生而逢时
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3318
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
Super__Qual_Backup
03-20
超级__Qual_Backup
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初的CSDN博客
07-26 2705
题目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
[CSCCTF 2019 Qual]FlaskLight
Yb_140的博客
11-07 376
SSIT
web-ctf】ctf_BUUCTF_web(1)
一个努力生活的人的博客
11-20 1805
ctf_BUUCTF_web
BUUCTF(11.14-11.22)
qq_52988816的博客
11-22 1686
记:上周抽空刷的BUU题目,记录一下解题过程的同时与大家分享交流 [Zer0pts2020]Can you guess it? 一个查询页面,提交东西提示wrong 有个源码链接,我们点开看一下 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you ar
BUUCTF SSTI模板注入小结(持续更新)
CN天狼
05-02 1247
BUUCTF部分SSTI模板注入小结 [护网杯 2018]easy_tornado [BJDCTF2020]The mystery of ip [BJDCTF2020]Cookie is so stable [CISCN2019 华东南赛区]Web11 [WesternCTF2018]shrine [GYCTF2020]FlaskApp [CSCCTF 2019 Qual]FlaskLight
buuctf刷题之旅(三) 知识点+坑
qq_50589021的博客
11-05 1450
[NCTF2019]True XML cookbook WP 最后一位不一定是11,需要自己内网探测 打2021的geek大挑战了 [MRCTF2020]套娃 WP [极客大挑战 2019]RCE ME WP [CISCN2019 华北赛区 Day1 Web2]ikun JWT、pickle反序列化 WP [WUSTCTF2020]颜值成绩查询 import requests url= 'http://b91f52c4-276b-4113-9ede-54fb712ac6da.node3.buuoj.cn/
BUUCTF web第三页WP
东隅的博客
10-03 1122
简单来说,就是mt_srand(seed)分发种子,相当于进行产生随机数的初始化,然后通过mt_rand函数获得种子,但是这个随机数并不是真正的随机,他是有可预测性的,如果我们能获得种子,就一定程度上可以获得产生的随机数,根据这个随机数进行验证的部分就不安全了。这个题的逻辑就是在注册的地方进行过滤,我们绕过过滤登陆进去以后,有一个改密码的功能,他是用双引号闭合用户名进行改密码操作的,我们注册好的用户名双引号结尾就可以闭合,后面跟我们进行报错注入的代码就好,至于改密码怎么改是随便填的,重点在注册好的用户名。
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 4万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
Qual_Matrix.7z.003
08-17
Qual_Matrix.7z.003 Qual_Matrix.7z.003
split_vector_into_e qual_sized_bins( input_vect , N_per_bin ):给定一个向量,分成相等大小的 bin,每个 bin 中有 N_per_bin 个元素-matlab开发
05-29
bins_idx = split_vector_into_equal_sized_bins( input_vect , N_per_bin ) 给定一个向量分成大小相等的 bin,每个 bin 中有 N_per_bin 元素返回每个元素的 bin 差异 w/discretize() 是 discretize() 制作宽度均匀...
Qual_Matrix.7z.002
08-17
Qual_Matrix.7z.002 Qual_Matrix.7z.002
人脸图像特征提取matlab代码-jcs_qual:jcs_qual
05-22
人脸图像特征提取matlab代码
Linux知识点笔记
exercise_smile的博客
05-16 889
Linux 主要的发行版(release):Ubuntu(乌班图)、 RedHat(红帽)、 CentOS、 Debain[蝶变]、 Fedora、 SuSE、 OpenSUSE [示意图]在 linux 中的每个用户必须属于一个组, 不能独立于组外。在 linux 中每个文件 有所有者、 所在组、 其它组的概念。ls -l 中显示的内容如下:0-9 位说明:第 0 位确定文件类型(d, - , l , c , b)l 是链接, 相当于 windows 的快捷方式。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 663
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
推荐系统学习笔记(一)
weixin_44880995的博客
05-15 144
同类策略(精排中的两种模型)天然互斥,并且(两条召回通道)效果会相互影响,避免干扰。反转:有的指标立刻影响,有的需要长期观测-------尽快推全也可以长期观测。10%作为holdout桶,实验使用剩余的90%,做diff(需要归一化)不同策略(添加召回通道,优化粗排模型)通常不会干扰,可以作为正交的两层。保留10%,完全不受实验影响,可以考察整个部门对业务指标的贡献。同层互斥----避免一个用户被两个实验影响。不同层正交----每层独立随机分配用户。推全:新层,与其他层正交,90%用户。
并发编程笔记3--synchronize底层实现原理
最新发布
qq_41056506的博客
05-17 737
Java中每一个对象都可以作为锁,具体的表现为以下3中方式当一个线程试图访问同步代码块时,他必须先获得锁。退出或抛出异常必须释放锁。那么锁到底存在哪里呢?锁中存储的是什么信息呢?从JVM规范中可以看到Synchronize在JVM中的实现原理,JVM是基于进入或退出Monitor对象来实现方法同步和代码块同步,但两者的实现细节不一样。1、代码块同步是使用monitorenter和monitorexit指令实现,2、而方法同步是使用另一种方式实现的,细节在JVM规范中并未详细说明。
matlab qual函数用法
03-30
MATLAB的qual函数是用于计算矩阵的条件数的函数。条件数是一个衡量矩阵稳定性的指标,它越小表示矩阵越稳定,越大表示矩阵越不稳定。 qual函数的语法为: cond_number = qual(A) 其中,A是一个矩阵,cond_number...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值