注入漏洞有哪些/【小迪安全】Day83CTF夺旗-python考点SSTI&反序列化&字符串_零开始白帽子教学

注入漏洞有哪些/【小迪安全】Day83CTF夺旗-python考点SSTI&反序列化&字符串_零开始白帽子教学

【小迪安全】夺旗-考点SSTI&反序列化&字符串

#CTF介绍：

---在大量的比赛真题复现中，将涉及到渗透测试的题库进行了语言区分，主要以 , PHP,Java为主，本章节将各个语言的常考点进行真题复现讲解。

CTF各大题型简介

---MISC（安全杂项）：全称。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等，覆盖面比较广。我们平时看到的社工类题目；给你一个流量包让你分析的题目；取证分析题目；都属于这类题目。主要考查参赛选手的各种基础综合知识，考察范围比较广。

---PPC（编程类）：全称 Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写，批量处理等，有时候用编程去处理问题，会方便的多。当然PPC相比ACM来说，还是较为容易的。至于编程语言嘛，推荐使用来尝试。这部分主要考察选手的快速编程能力。

---（密码学）：全称。题目考察各种加解密技术，包括古典加密技术、现代加密技术甚至出题者自创加密技术。实验吧“角斗场”中，这样的题目汇集的最多。这部分主要考查参赛选手密码学相关知识点。

---（逆向）：全称。题目涉及到软件逆向、破解技术等，要求有较强的反汇编、反编译扎实功底。需要掌握汇编，堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。此类题目也是线下比赛的考察重点。

---STEGA（隐写）：全称。隐写术是我开始接触CTF觉得比较神奇的一类，知道这个东西的时候感觉好神奇啊，黑客们真是聪明。题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。载体就是图片、音频、视频等，可能是修改了这些载体来隐藏flag，也可能将flaq隐藏在这些载体的二进制空白位置。有时候需要你侦探精神足够的强，才能发现。此类题目主要考察参赛选手对各种隐写工具、隐写算法的熟悉程度。实验吧“角斗场”的隐写题目在我看来是比较全的，以上说到的都有涵盖。新手盆友们可以去了解下。

---PWN（溢出）：PWN在黑客俚语中代表着攻破，取得权限，在CTF比赛中它代表着溢出类的题目，其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中，线上比赛会有，但是比例不会太重，进入线下比赛，逆向和溢出则是战队实力的关健。主要考察参与选手漏洞挖掘和利用能力。

---WEB（wob类）：WEB应用在今天越来越广泛，也是CTF夺旗竞赛中的主要题型，题目涉及到常见的Web漏洞，诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目，至少会有一层的安全过滤，需要选手想办法绕过。且Web题目是国内比较多也是大家比较喜欢的题目。因为大多数人开始安全都是从web开始的。

案例1：CTF夺旗--支付逻辑&JWT&反序列化

---真题：2019 CISCN华北赛区Day1 Web2 （全国大学生信息安全竞赛）

---在线靶场地址：#[%20%E5%8D%8E%E5%8C%97%E8%B5%9B%E5%8C%BA%%]ikun

---提示要买到IV6，先进行注册一波用户

---观察url对应的内容，page对应页数，需要通过爬虫来查找lv6

---:81/shop?page=3

---在前端页面中，lv的内容在

---写爬虫进行爬取，在181页

---查找到lv6，账户只有1000，买这个明显不够，这里思路是抓包修改金额，或者修改优惠券（看这个优惠券是前端验证和是服务器验证）

---查看表单源代码

---在这里存在id/price/

---这里面价格和折扣都可以修改

---修改折扣

---点击购买，发现只能管理员才能购买（需要进行逻辑（垂直）越权）

---信息和权限进行挂钩，查看当前特征

---发现了JWT（头部.负载.签名）：

..8Z8

---什么是JWT

---对JWT进行解密：

---发现用户名：小迪123，但是JWT的密匙我们现需要进行获取

---尝试使用c-jwt-工具爆破JWT秘钥，成功得到秘钥。

---下载地址：

---构建使用c-jwt-需要我们在我们linux里安装好头文件。在linux的配置命令是：apt-get -dev

---下载好c-jwt-，还需要在工具所在目录执行make命令，目的是让文件运行起来。编译完后会生成一个文件

---进行破解，密匙为:1Kun

---根据密匙修改JWT（用户为admin）

..-Xv-

---修改的jwt，然后放出去

---发现界面已经改变

---查看前端源代码查找线索：///www.zip

---访问这个url,发现可以下载源代码

---打开对源代码进行代码审计

---漏洞参考：

---对反序列化的关键字（）在项目中进行搜索：

---查看源代码：

---post接受传参，然后将接受到的字符串进行反序列化为对象

---我们可以通过构造字符串，为对象的属性和方法进行赋值，构造

---在表单里面也发现了传参

---构造，传输一个对象执行命令执行的方法（这里是的代码）

---先构造一个对象，里面的方法是的扩展类型，当对象被反序列化时就会调用函数，进行执行命令执行函数，打开/flag.txt的文本

---.dumps()将对象转化为字符串的格式，然后进行序列化为字符串

---.quote是将字符串进行url编码（由于在源代码里面进行了url解码，所以这里需要进行事先的编码）

---():即类继承了对象（里面是默认继承的，类是一切类的父类）

---放到环境去执行：

%%0Ap0%0A%28S%%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.

---由于表达传参的位置是隐藏的，需要修改

---直接post传参

---修改元素，将去掉，发现post的弹窗出现，可以进行post传参

---输入

---flag出现

案例2：CTF夺旗--Flask&&SSTI模版注入

---SSTI漏洞的参考：

--- ssti主要为的一些框架 mako ，PHP框架 twig，java框架jade 等等使用了渲染函数，这些函数对用户的输入信任，造成了模板注入漏洞，可以造成文件泄露，rce等漏洞。

#正常的代码片段

---前端name传参，用户通过传递name参数可以控制回显的内容：

---注意：name= .args.get(‘name’)是因为：当需要获取前端页面表单传过来的id值的时候，我们就需要用.args.get,

--- 是flask中页面跳转的方法，其用法很简单，如下：

---这里渲染的模板为：index.html,模板显示的参数为name

---即用户通过传递name参数可以控制回显的内容：

---我的理解是：这里可能会造成命令执行，如果先传参再渲染，对于的传参会在渲染的时候造成命令执行

---但是这里即使用户输入渲染模板，更改语法结构，也不会造成SSTI注入：

---原因是：服务端先将index.html渲染，然后读取用户输入的参数，模板其实已经固定，用户的输入不会更改模板的语法结构。

---如果是不正确的写法（先读取再渲染）：

---这里前端表单传递了两个参数name和guest给name

--- 中是中的一个类，可以将字符串的格式固定下来，重复利用。唯一的变量就是name

---方法方法：实质就是生成模板的；通过调用一个方法来生成，而这个方法是通过方法的参数传递给它的；这个方法有三个参数，分别是标签名《title》，标签的相关属性，标签内部的html内容；通过这三个参数，可以生成一个完整的模板。(大致就是渲染的意思)

---%s就是前端的显示变量

---进行测试：我们输入的内容被服务器渲染然后输出，形成SSTI模板注入漏洞

#SSTI（模板注入）漏洞是否存在的判断（黑盒判断）

---中间件：可通过请求响应头值判断，比如：/0.11.15 /3.7.0，说明后台使用脚本编写，应该想到测试是否有SSTI漏洞。

---返回页面：比如返回Opos!That page exist.{{2*2}}

---关键字提示：比如flask（这个漏洞是flask框架的）、inja2、mako等

---不同的框架就有不同的模板

#的构造的基础知识

---：万物皆对象，而class用于返回该对象所属的类

---：以元组的形式返回一个类所直接继承的类。

---：以字符串返回一个类所直接继承的第一个类

---：返回解析方法调用的顺序。（顺序是由子类到父类，格式是以元组的形式返回）

---：()获取类的所有子类。（以列表的形式）

---：

.，用于获取所处空间下可使用的、方法以及所有变量。

---：所有自带类都包含init方法

#构造

---随便找一个内置类对象用拿到他所对应的类

---用拿到基类（'>）

---用()拿到子类列表

---在子类列表中直接寻找可以利用的类（需要找到可以进行命令执行的子类即os模块）

---但是我的不知道乍回事，成功了但是没有外显

---检测元素发现在源代码：存在显示

---存在os模块

---查找os在里面的位置（我把它复制在文本文档里面，然后写脚本去找）：

---我这里在134个

---根据这个索引验证一下

---利用os进行的构造（os.类里有popen）：

""..[0].()[134]...('os').popen('').read()

---但是这里我不知道为啥报错了

---换一个exp执行：

:5000/?name={{%27%27..[0].()[134]..[%%27][%%27](%(%27os%27).popen(%%27).read()%22)}}

---也可以使用工具：自动化检测工具（环境）

---下载地址：

---用法：

---检测是否有SSTI漏洞，如下图，发现有漏洞，可上传下载文件（其实也可以命令执行，工具可能会误报）。

---命令： .py -u :5000/acc?=

---这里存在：文件写入/文件阅读/命令执行等等漏洞（缺点：不准确）

---下载flag文件： .py -u :5000/acc?= -- flag.txt flag.txt

#进入靶场

---靶场地址：#[]

---进去后是一段代码（白盒审计）

---复制到

---这里有两个路由，进入/就是读取源文件；进入/(这里没有进行前端的表单传参)，而且存在对于（和）的过滤

---ng函数在渲染模板的时候使用了%s来动态的替换字符串，在渲染的时候会把 {{**}} 包裹的内容当做变量解析替换。

---然后以‘‘（空）连接字符串遍历列表+（）的传参（set的{}为c，也就是对于传参的字符串进行修改）

---相当于是一个黑名单，只要涉及里面的字符串，就会为空

---传参的s应该是//{{*}}中的{{*}}（有点迷糊了）

---先手工测试一次

---用工具验证一下（用*取代后面的参数）：

.py -u :81//*

---由于这里有过滤，只判断出了存在注入点，但是不能执行其他的功能

--注入点：//{{*}}

---首先，我们先进行类的读取（获取类>获取父类>获取获取的子类列表）：

''..[0].()

---源码app.['FLAG'] = os..pop('FLAG')

---推测{{}}可查看所有app.内容

---但是这题设了黑名单[‘’,‘self’]并且过滤了括号

---不过还有一些内置函数，比如（用于构建指定的url,调用已经声明的函数）和。

---Flask提供了很多种方式来加载配置。比如，你可以像在字典中添加一个键值对一样来设置一个配置

---os. 是 获取系统信息的一个方法

---app.[‘FLAG’]就是当前app下一个变量名为’FLAG’的配置，它的值等于os..pop(‘FLAG’)：即移除环境变量中的键名为’FLAG’的值。（这句话的意思就是说flag在app的变量里）#根据代码构造

---查看全局变量（所处空间下可使用的、方法以及所有变量）：

//{{.}}

---意思应该是当前app，那我们就看当前app下的：

//{{.[''].}}，成功拿到flag

案例3：CTF夺旗--格式化字符串漏洞&读取对象

#格式化字符串漏洞原理

~

网络安全学习，我们一起交流

~