- 1给BERT补充其他特征的编码器实践_bert 自编码器
- 2Cobaltstrike简介及实战_cobalstrike
- 3【数据结构与算法】哈希—— 位图 | 布隆过滤器 | 哈希切割_布隆过滤器 哈希算法
- 4【MySQL】insert和select单表查询详解(包含大量示例,看了必会)_insert select
- 5python控制windows窗口,python 控制桌面程序_pyautoit
- 6QML动画(基本动画)_qml鼠标点击动画
- 7小白如何编写微信小程序的页面结构_小程序页面js的结构设计
- 8深入理解LinkedList_linkedlist 左右哪边是头
- 9使用 FastAPI 实现聊天完成 API 详解_fastapi stream api
- 10sql优化-单表优化_单表慢sql优化
CTFSHOW 愚人杯easy_ssti_ctfshow easyssti
赞
踩
以前没有咋学过SSTI,如有错误望各位大佬指正。
打开靶机后没有看到有用的提示,看一下源码。
发现有一个压缩包,下载下来看看。
是flask的模板,分析一下源码应该就是在/hello目录下有SSTI注入的漏洞。
进入hello目录下并照常走一下判断流程,发现应该是jinja2的模板。
放张老图
找一下object
再看看有什么类能用的
找catch_warnings,因为catch_warning是function具有__globals__
然后再通过__globals__里的builtins的__import__来getshell
os库中可以调用popen函数执行命令,再read读取到页面上。
在页面上查catch_warning的位置,再查class的位置就能大概查到是第几个类了。
用ls查了一下当前目录,app.py 里也没啥有用信息,和压缩包里是一样的。
接下来看看templates
发现也是没什么东西。
那就直接根目录查flag吧。
{% raw %}
{{‘’.class.bases[0].subclasses()[213].init.globals[‘builtins’]‘import’.popen(‘cat /f*’).read()}}
{% endraw %}
发现not found了
猜测了一下,应该是将语句中的"/"当成目录了。
那就试试base64+管道符绕过
“cat /f*”"Y2F0IC9mKg"
{% raw %}
{{‘’.class.bases[0].subclasses()[213].init.globals[‘builtins’]‘import’.popen(‘echo Y2F0IC9mKg== | base64 -d’).read()}}
{% endraw %}
成功拿到flag。
注意要包一层反引号(命令执行),不然会被当做字符串echo出来。
另外这道题刚开始的源码那块对"f"和"ge"进行了处理,我不知道在其他思路里会不会卡住,我试了下可以在语句的最后直接加上"ge"绕过。
- 0x01 WEB_你取吧题目源码[详细] -->
赞
踩
