当前位置: 首页 > news >正文

SSTI 刷刷刷个题

news 2025/7/3 19:02:30

今日靶场:

CTFSHOW

【2023 愚人杯】easy_ssti

好像没有什么有用的信息,经过尝试,在用F12键打开html网页源码之后得到提示

接下来直接访问app.zip下载压缩包

 得到python代码

 经过分析,这是一个简单的Flask应用,包含两个路由: 

/hello/    和  /hello/<name>

这两个路由分别处理不同的请求,并根据传入的参数渲染模板返回字符串.

/hello/路由

@app.route('/hello/')
def hello(name=None):return render_template('hello.html',name=name)

这个路由没有接收任何参数,因此 name 默认为 None;

它调用了 render_template 函数,尝试渲染一个名为 hello.html 的模板文件,并将 name 传递给模板。

/hello/<name>路由

@app.route('/hello/<name>')
def hellodear(name):if "ge" in name:return render_template_string('hello %s' % name)elif "f" not in name:return render_template_string('hello %s' % name)else:return 'Nonononon'

 这个路由接收一个动态参数 name

它根据 name 的值进行条件判断:

如果 name 中包含 ge ,则使用 render_template_string 渲染一个字符串模板;

如果 name 中不包含 f ,则同样使用 render_template_string渲染一个字符串模板;

  如果 name 中既包含 ge 又包含 f ,则返回字符串 Nonononon 。

这样一来我们就可以控制 name 参数注入恶意的模版代码,使之在服务器端执行操作。

在此之前,先了解这么几个东东,因为后面要用到:

OS对象类:OS 是Python的一个标准库模块,提供了与操作系统交互的接口。在SSTI攻击中,攻击者常常尝试访问 OS 模块来执行系统命令。

作用:执行系统命令访问文件系统获取环境变量进行进程管理

object类:object 是Python中所有类的基类,所有类都直接或间接继承自 object 。在SSTI中,它常被用作寻找危险类的起点。

或者说它是一个特殊的内置变量,它允许访问模板引擎的内部属性方法。攻击者可以利用这一点进行读取文件、执行系统命令等非预期操作,也可以通过object来绕过过滤限制。

作用:作为类继承链起点、通过 __subclasses__() 方法获取所有可用的子类寻找包含危险函数或模块的(如os、subprocess等)

popen函数:os.popen是os模块中的一个方法,用于创建到命令的管道,可以执行系统命令获取输出

作用:执行系统命令并获取输出、比 os.system() 更有用,因为它可以返回命令执行结果、

常用于读取文件目录列表等操作

接下来找一下object

解释一下这个payload:

/hello/{{''.__class__.__bases__}}

/hello/是目录,payload的后面{{''.__class__.__bases__}} 是Python表达式.'' 是一个空字符串; .__class__是Python中的一个特殊属性,用于获取对象的类(即类型);

因此,.__class__ 的返回值是一个 str 类型。

.__bases__  也是一个Python中的一个特殊属性,用于获取类的基类元组;

所以,{{''.__class__.__bases__}} 返回的是 str 类型的基类元组。

在 Python 中,object 是所有类的基类。因此,str 类型的基类元组中包含 object,也就可以通过这个payload找到object。

再看看有没有什么类可以用

 这里主要由这篇博客引导着做,否则真没有任何思路

学习ssti-CSDN博客

里面主要提示

catch_warnings,因为catch_warning是function具有__globals__

然后再通过__globals__里的builtins__import__来getshell

os库中可以调用popen函数执行命令,再read读取到页面上。

在页面上查catch_warning的位置,再查class的位置就能大概查到是第几个类了。

接下来用 ls 查看当前目录,但app.py里面没有什么有用的,同样templates也没有什么

后面还是由大佬的wp得知 <class 'os._wrap_close'> 就是 os 对象类

同样用大佬的代码可以找出 os 在第几位:

ori_str = """就是放那堆妖魔鬼怪"""
ori_list = ori_str.split(",")
for index, item in enumerate(ori_list):if "os._wrap_close" in item:print(index)

搞进去运行

可以得到是132位(os对象类),那就用上

接下来要拿到 popen 函数就需要先获取对象的 __init__ 属性,然后使用 __globals__ 获取函数作用域下方法,里面就包含 popen 

终于出来了,接下来就可以执行想进行的操作了

获取当前文件目录:在原payload下加入  ('ls').read()  即可

发现这就是刚刚的app.py 没有东西

 获取上级目录:('cd .. && ls').read()

(表示先cd .. 回到上级目录,再ls读取)

呜呼呼,发现flag了终于,接下来读取flag文件

但是别忘了一个事儿:py代码里得知屏蔽了 f 字符

我就是忘了这个,但是想不到解决办法,查询到利用通配符 * 

('cd .. && cat *lag').read()

不得不说,SSTI是真的很难。。

http://www.dtcms.com/a/192107.html

相关文章:

  • 游戏引擎学习第281天:在房间之间为摄像机添加动画效果
  • 【ArcGIS技巧】根据地块、界址点图层生成界址线
  • 游戏引擎学习第282天:Z轴移动与摄像机运动
  • 基于WinCC flexible 2008、STEP_7和博途之间的项目移植
  • 2035.5.15 并查集
  • 让AI帮我写一个word转pdf的工具
  • 基于SpringBoot的家政服务系统设计与实现(源码+文档+部署讲解)
  • 五件应该被禁止自行托管的事情(5 Things That Should Be Illegal to Self Host)
  • 车载诊断架构 ---车载总线对于功能寻址的处理策略
  • Apache RocketMQ ACL 2.0 全新升级
  • 每日算法 - 【Swift 算法】Two Sum 问题:从暴力解法到最优解法的演进
  • 《数字藏品社交化破局:React Native与Flutter的创新实践指南》
  • Python----神经网络(基于DNN的风电功率预测)
  • 桃芯ingchips——windows HID键盘例程无法同时连接两个,但是安卓手机可以的问题
  • 问题处理——在ROS2(humble)+Gazebo+rqt下,无法显示仿真无人机的相机图像
  • 三目云台20倍变焦智能监控技术
  • Nginx 返回 504 状态码表示 网关超时(Gateway Timeout)原因排查
  • 金融量化智能体,如何开发一个有效的策略?
  • C++中委托构造函数(delegating constructor)详解和注意事项
  • elementUI 循环出来的表单,怎么做表单校验?
  • InforSuite RDS 与django结合
  • React事件机制
  • 解决 Conda 安装 PyTorch 1.1.0 报错:excluded by strict repo priority(附三种解决方案)
  • [特殊字符]川翔云电脑:重新定义云端算力新纪元
  • 【爬虫】DrissionPage-3
  • 力扣-49.字母异位词分组
  • 10.2 LangChain v0.3全面解析:模块化架构+多代理系统如何实现效率飙升500%
  • 如何安全擦除 SSD 上的可用空间
  • 牛客网NC231954:斐波那契数列 (简单的数列问题)
  • Ubuntu离线安装Minio