前言
ssti注入可以类比sql注入,但却是ssti注入的语句确实挺多的所以在这里推荐只用hackbar上自带的ssti注入语句这样效率会高很多,然后再根据注入种类,waf过滤哪些关键词做出相应改变,当然首先还是要感谢大佬的帮助哈哈哈
一、审题
打开题目发现是一个网站而且提示很明显要我们传一个name的参数,又因为题目提示了我们是ssti注入所以name应该是注入点没错了,所以我们试一下看是什么类型的,我们传一个{{7*'7'}}看看。
观察回显发现使用的是jinjia2框架,判断是什么框架我在这里做一个小结:
{7*7} ->49 -> smarty
{{7*'7'}} -> 49 -> twig
{{7*'7'}} -> 7777777 -> jinjia2
知道是jinjia2框架了,我们打开我们的hackbar使用我们的ssti模块(在这里我直接选我的原始payload了,实际情况中要自己去试)即payload为:
{{self.__init__.__globals__.__builtins__['__import__']('os').popen('ls').read()}}
然后不出意外的被waf挡了
二、绕过waf
这里把包含的关键词依次留下,发现是init被过滤了所以我们试着将init进行分割,上网搜索发现__getattribute__()(此方法自行上网搜索含义)能拼接两个字符串且经过实验发现该函数并未被过滤,所以我们将此处的init变成__getattribute__('__i'+'nit__')
好的可以执行命令了,接下来就是读取flag,试着payload:cat /flag
果不其然被过滤了,多次参数fuzz后发现是过滤了cat和flag,所以我们换个payload即:tail /fl**
总结
ssti类型的题首先就是找注入点,其次判断为什么类型的注入,最后通过替换关键词和字符串拼接等等达到绕过waf的目的,不过这类题的姿势还是很多的需要我们在练习的过程中不断积累。