![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
模板注入SSTI
文章平均质量分 71
模板注入SSTI
bfengj
vegetable web dog
展开
-
[Python]Flask内存马学习
前言之前一直想学习的东西但是一直咕,终于选了个晚上在配置vscode调试PHP底层C代码的过程中卡住的时候去学了这个flask的内存马,也是很有意思。前置知识请求上下文简单的flask的ssti肯定需要知道,这个就不提了。首先就是跟着参考链接中的Flask上下文管理机制流程进行了一波学习,打断点跟进一波。flask在接受到请求的时候会调用app的__call__方法: def __call__(self, environ, start_response): """The原创 2021-10-28 00:39:29 · 1344 阅读 · 2 评论 -
MAR & DASCTF 2021 baby_flask
前言周末又到了补作业的好时间,本来想逃一波作业来打打这个比赛,结果卡的我属实难受,把第一道web的ssti给做了就去补作业了,其他的web没来得及看,不知道还有没有复现了(哭)。easy_SSTI(好像是叫这个?)单纯的SSTI了,f12看一下给了黑名单: Hi young boy!</br>Do you like ssti?</br>blacklist</br> '.','[','\'','"',''\\','+',':','_',<原创 2021-03-27 22:50:06 · 3317 阅读 · 4 评论 -
[SCTF2019]Flag Shop
前言知识点:jwtrobots.txtrubyruby的RRB注入第一次接触ruby,学到了学到了。WP首先进入环境,是这样:买flag,reset不知道干啥的,work是让钱增加一定的数量,这题肯定不可能是这样让钱够的。看一下cookie,发现好像是jwt,解码一下:jkI是存储在jwt里面的,所以这题很明显是要伪造jwt才能让钱足够来购买flag了。这题的jwt是HS256算法,我尝试了一下无算法,弱密钥爆破等都不行,然后就GG了。其实还是忘记了信息收集,这题存在robo原创 2021-03-07 15:37:08 · 714 阅读 · 0 评论 -
[RootersCTF2019]I_<3_Flask
WP一道简单的SSTI,主要的难点还是找注入的参数。学习了利用arjun这个HTTP参数发现工具:Arjun发现注入点是name参数。然后简单的SSTI一下就可以了:?name={{lipsum.__globals__.os.popen('cat flag.txt').read()}}...原创 2021-03-06 15:26:13 · 360 阅读 · 0 评论 -
[CISCN2019 华东南赛区]Double Secret
前言没做出来,不难的题目,还是思维挺局限的。WP首先进入环境,Welcome To Find Secret。访问secret,会显示:Tell me your secret.I will encrypt it so others can’t see传一下secret参数,发现会有新的回显,就像是被加密了一样:接下来就很重要了,多输点东西,会让它报错:我也是第一次知道这个报错的页面会有源码泄露:逻辑就是对传入的secret进行RC4加密,然后模板渲染。这是flask的模板,而且用了原创 2021-03-06 13:06:26 · 904 阅读 · 0 评论 -
CTFshow-WEB入门-SSTI
前言开始SSTI,参考文章:flask之ssti模版注入从零到入门SSTI模板注入绕过(进阶篇)记录一下自己学习的东西:__class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。__subclass原创 2021-02-21 16:22:21 · 4000 阅读 · 1 评论 -
[网鼎杯 2020 白虎组]PicDown
知识点文件读取文件描述符python代码审计反弹shellWP总的来说还是一道比较简单的题目,有毒的地方就是那个url,我卡在那个url上面了,我真的以为这是一个SSRF,没想过去试试直接文件读取,没想到真的这样:?url=../../../../../etc/passwd可以读到东西。虽然我也尝试过用file,但是没读到东西,看来是被过滤了,还是自己的...原创 2021-01-07 15:03:49 · 2550 阅读 · 4 评论 -
[V&N2020 公开赛]CHECKIN
知识点反弹shell文件描述符WP进入环境审一下源码:from flask import Flask, requestimport osapp = Flask(__name__)flag_file = open("flag.txt", "r")# flag = flag_file.read()# flag_file.close()## @app.route('/flag')# def flag():# return flag## want flag? naive!原创 2020-12-16 20:45:10 · 228 阅读 · 0 评论 -
[CSCCTF 2019 Qual]FlaskLight
知识点SSTI知识点虽然没能做出来这题,但是对于SSTI的思路又拓展了许多,而且得到了一些非常重要的资料。进入环境,f12可以看到提示get传参search。经过测试发现是个flask的模板注入。接下来就是正常的SSTI注入的测试,注到{{[].__class__.__bases__[0].__subclasses__()}}这里列出了所有的类,找了一个经常用的用来RCE的类,发现真的存在,然后继续注,但是不行了,返回了500。然后我又把后面的.__init__.__globals__['原创 2020-12-15 21:00:00 · 471 阅读 · 1 评论 -
[CISCN2019 华东南赛区]Web11
知识点Smarty的SSTIWP很水的一道题,进入环境大致看了一下,因为是个命令执行或者其他功能的题,然后发现了最下面的Build With Smarty ! 大概率就是Smarty的模板注入了:Smarty SSTI经过测试,发现x-forwarded-for那里存在SSTI,直接得flag:{system("cat /flag")}做了这么久buuctf…终于有一个这么简单得题目了。。。一直被虐惨了。。。...原创 2020-11-28 22:55:19 · 288 阅读 · 0 评论 -
[GYCTF2020]FlaskApp
知识点Flask模板注入中debug模式下pin码的获取和利用WP进入环境,根据题目的提示这是一道flask的题目,经过信息收集,在hint页面发现了pin,经过谷歌发现这题的思路大概就是,因为开启了debug模式,所以可以利用ssti注入读文件最终获得pin码,然后利用pin码进入debug模式的交互式命令行进行命令的执行。首先是要找到ssti的点。经过测试,发现是解码的那里,如果输入{{1+1}},解码后回显的结果是2,因此存在SSTI。但是经过测试,执行命令的SSTI注入方式被过滤了,按照原创 2020-11-27 18:53:56 · 1488 阅读 · 2 评论 -
NCTF2020 你就是我的master吗
前言第一次参加南邮的NCTF,表示题目出的质量很好,出题人也很好,平台也很好,交flag也不需要验证码(逃~),总的来说就是好,明年还会参加。见证了过了1天PWN仍然0解的状况,南邮的PWN还是强啊。总榜第一的大师傅还是强啊,但是为什么是梅子酒不是郁离歌呢?(逃~):Web题目的质量还是挺高的,虽然我不会。。。今年只能做出来最简单的那道SSTI,争取明年能再创新高。。WPF12看源码,发现了?name=master,url传一下发现回显了,大概率是SSTI,经过测试是Jinja2的SSTI,然原创 2020-11-22 23:05:13 · 742 阅读 · 2 评论 -
[BJDCTF2020]The mystery of ip 1
WP进入环境,发现还是那个熟悉的页面,hint里给我们提示了ip,在flag.php那里尝试xff头,发现成功回显,说明回显的点在xff头那里。猜测是SSTI。我输入{{7*‘7’}},回显了49,我以为是Twig的模板注入,把payload扔进去发现报错了。把报错信息扔到谷歌里面查了一下,发现这是是Smarty的SSTI。参考文章如下:Smarty SSTI最终采用if的方法成功得到了flag:{if system("cat /flag")}{/if}然后看了一下WP,发现这样直接出了。原创 2020-11-16 09:05:54 · 1123 阅读 · 0 评论 -
2018-TokyoWesterns-Web-shrine
前言要去好好学一下python了,python的SSTI做起来真的好难,就感觉自己没学过python一样,这道题查了很多的资料,还是感觉似懂非懂,还是对python学的太浅了,因为目前自己还是停留在写写小爬虫小脚本的基础上。还有php,如果学习python或者php都站在开发的角度上来进行深入的学习,学成之后再去看这些内容肯定会非常的轻松,但是自己一开始觉得搞安全可以不搞开发,能审出洞就可以了,事实上如果不懂开发,连代码都看不懂,真的是拿头去审。所以关于SSTI就暂时做到这个题目,接下来关于ctf的学习也原创 2020-11-05 22:52:45 · 464 阅读 · 0 评论 -
BJDCTF-2020-Web-Cookie is so subtle!
知识点Cookie(其实这个点可以不用管)SSTIWP首先环境有三个页面,分别是index.php,flag.php,hint.php。hint.php的源码里有个提示:<!-- Why not take a closer look at cookies? -->然后flag.php里是一个输入框,输入什么它就会回显什么。这时候看看cookie,发现突然多了user:说明这个页面是根据cookie里的user来回显的。经过尝试,这里存在模板注入。其实这题cookie没啥原创 2020-11-02 18:30:03 · 684 阅读 · 3 评论 -
XCTF 4th-QCTF-2018 Confusion1
知识点SSTI模板注入猜图(狗头)WP进入环境可以发现啥都没有,重要的是这个图:想办法联想到这个:知道和python相关。。。(狗头)首先访问login.php和register.php,发现都是404。经过一系列尝试,发现这个网站只有index.php,但是404的页面响应头里有这个:<!--Flag @ /opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt-->因此知道了flag文件的位置,但是不知道怎么去读取这个文件。其原创 2020-10-31 20:01:49 · 686 阅读 · 0 评论 -
攻防世界 Web_python_template_injection
前言这是一道关于python的flask模板注入的题目,刚碰到这个题目的时候我对于flask和模板注入是没有接触过的,因此上网查找相关知识并结合攻防世界给出的WP做出了这个题目。做题前知识点的了解https://xz.aliyun.com/t/3679这篇博客对于我这样的萌新来说非常友好,对于flask的ssti模板注入讲解的很好,推荐一看。看完这个,就对flask的模板注入有了一个大致的了解,但是对于如何应用可能有些迷茫,下面结合攻防世界的这个题目来更加深入的了解。WP作为一个萌新,刚打开这个原创 2020-09-03 10:28:25 · 543 阅读 · 0 评论