CTF笔记 SSTI模板注入
文章目录
- 前言
- 一、判断模板类型
- 二、上例题
- 1.[BJDCTF2020]Cookie is so stable
- 2.[BJDCTF2020]The mystery of ip
- 总结
前言
之前做ssti题目的时候不认真,总是跟着wp做完就完事了,可能纯粹为了好玩做ctf题目,开个眼界,没有放在心上。现在想认真入门了,做个笔记。
以BUUCTF上的题目为例。本来想用sstilabs的,但是做题的时候,试了各种payload,flag就是出不来,不明白什么问题,如果有大佬知道咋解决的,告诉我一下,感谢。
一、判断模板类型
绿线表示payload成功解析,红线表示没有解析,原样返回了。一步一步向后判断,就能得出具体类型。
二、上例题
1.[BJDCTF2020]Cookie is so stable
一步一步判断:
失败了
尝试{{7*7}}
成功解析
继续{{7*'7'}}
依旧成功
可得出模板可能是Jinja2或者是Twig
继续尝试{{''.__class__}}
发现没有任何回显,感觉无了
再尝试{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
应该是被检测到了
根据题目猜测注入点在cookie中的user
再次尝试
有回显了
在尝试一下{{''.__class__}}
依旧没有任何显示
可能这里使用的模板就是Twig
查看了许多文章,用的都是一个针对Twig的payload
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
cat /flag可以换成其他系统命令
得到flag
2.[BJDCTF2020]The mystery of ip
既然题目叫the_mistery_of_ip,那肯定是在IP上下功夫
hint页面中也有提示,猜测xff伪造
进行尝试
发现根据xff内容,页面进行了更改
当然第一次看到这个题目我是懵的,所以去看wp了,按照正常顺序应该是猜测sql注入无果后再试ssti
所以这里就开个上帝视角,直接尝试ssti注入
和上面一道题目一样的步骤,进行判断模板类型
是Smarty模板,然后去查常用的payload
发现在{}里可以直接执行php命令
于是{system('ls')}
有flag.php,去看一下
emmmmm,我又懵了。。。。。。。百度了一下,这是源码,flag不在这
再看一下根目录
又看到了flag,再看一下
是在这了。。。。。
Twig模板其他payload参考:PHP Smarty模版注入
后面貌似还有相关题目。但是还没有去做,所以就不放了,下次合着别的题目一起写了
总结
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
CTF笔记 SSTI模板注入相关推荐
- WEB 渗透之SSTI 模板注入
SSTI 模板注入 文章目录 SSTI 模板注入 前言 一.注入 二.什么是 SSTI 模板注入 三.产生原因 四.常见的模板引擎 五.相关属性 六.检测方法 七.攻击思路 1. 攻击方向 2. 漏洞 ...
- bugku Simple_SSTI_1and 2(SSTI模板注入)
1.Simple_SSTI_12.Simple_SSTI_2 输入:http://114.67.175.224:15355/?flag={%%20for%20c%20in%20[].class.bas ...
- CTF SSTI模板注入详解
我们用一题"百度杯"CTF比赛来实战解题: 这边临时靶场的URL是:eci-2ze8l1o1z33xpyy7xj4o.cloudeci1.ichunqiu.com/ 首先bp暴力破 ...
- SSTI模板注入总结
文章目录 一.初识SSTI 二.判断SSTI类型 三.常用类 1.__class__ 2.__bases__ 3.__subclasses__() 4.类的知识总结(转载) 5.常见过滤器(转载) 四 ...
- buu(ssti模板注入、ssrf服务器请求伪造)
目录 目录 [CISCN2019 华东南赛区]Web11 [BJDCTF2020]EasySearch [De1CTF 2019]SSRF Me [CSCCTF 2019 Qual]FlaskLigh ...
- 【安全漏洞】DedeCMS-5.8.1 SSTI模板注入导致RCE
漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导 ...
- ctf的flask模板注入config、current_app、url_for和get_flashed_messages(转自浩哥)
题目 过程 1.使用tplmap,发现有ssti注入 ./tplmap.py --os-shell -u 'http://www.target.com/page?name=John' 2.题目源码: ...
- SSTI 模板注入url_for和get_flashed_messages之[WesternCTF2018]shrine
知识点: url_for和get_flashed_messages global 设置全局变量,使内部变量值可以被操作 __globals__(这个函数的结果只表示可读的量)使用方法是 fun._gl ...
- PHP中的SSTI模板注入——Twig、Smarty、Blade
目录 前言: (一)Twig 0x01 代码可控 0x02 代码不可控 0x03 输入payload 0x04 靶场演示 (二&
最新文章
- SigmaStar SSD201 操作记录
- TypeScript里对数组元素的自定义属性排序的实现原理
- PAT_B_1006_Java(15分)
- Java到LDAP教程(包括如何安装LDAP服务器/客户端)
- Linux7/Redhat7/Centos7 安装Oracle 12C_安装Oracle软件_04
- mysql建表影响效率_关于MySQL建表对DML的影响【转】
- 读“我为什么不要应届毕业生”
- 软件设计文档国家标准—软件需求说明书(GB856T——88)
- C语言学习-翁凯(目录总章)
- 学计算机去一线城市,这5个“新一线”城市在线抢人,选择去这上大学非常有前景!...
- 八大排序之堆排序、快速排序、基数排序(java)。
- html如何根据颜色排序,Excel技巧:按颜色排序或筛选
- 矩阵基础概念之行列式与秩
- 10种经典的日内交易策略模型思路
- 绿幕背景视频抠图替换
- SQL 练习题标准答案(点个赞呀)
- Python 自动化办公:Excel 自动绘制图表
- 拉姆.查兰《执行》笔记
- 爱情四十三课,热战与冷战
- ubuntu16.04安装Intel 9260AC无线网卡填坑记录