这道题我也是第一次碰,不外我很好奇为什么我不从SSTI_1开始做
##解题思绪
拿到页面一串英文,告诉我们缺少一个flag参数,于是我令flag=1,于是打印了1,输入各种语句也是,原封不动变为传入的字符串
根据题目提示,查了下SSTI,于是得知这道题大概用了SSTI模板注入,因此我们需要验证下
如果{{7*7}}实行结果为49的话,说明,这就是SSTI模板注入!
使用:{{ }} 除了可以输出传递的变量以外,还能实行一些基本的表达式然后将其结果作为该模板变量的值
{* *}是注释,a{* *}b被模板渲染的结果应该为ab
_class_返回一个实例所属的类__init__查看类是否重载,重载是指程序在运行时就已经加载好了这个模块到内存中,如果出现wrapper的字眼,说明没有重载函数名 .__globals__获取 function 所处空间下可使用的 module、方法以及所有变量os.popen()用于从一个命令打开一个管道open()用于打开一个文件,并返回文件对象config当前application的所有配置。 此外,也可以如许{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }} 至于模板类型,如图,绿色就是成功实行,红色就是实行失败
先ls查看当前目次下有什么文件或目次,有个app目次?进去看看
- /?flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}
- /?flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }}
- /?flag={{ config.__class__.__init__.__globals__['os'].popen('cat ../app/flag').read() }}
##参考链接:
SSTI(模板注入)漏洞(入门篇):1. SSTI(模板注入)漏洞(入门篇) - bmjoker - 博客园
SSTI模版注入(初步):SSTI模版注入(初步)_ssti模板注入-CSDN博客
BUUCTF SSTI模板注入:BUUCTF SSTI模板注入 - 高人于斯 - 博客园
##总结
SSTI 服务器端模板注入(Server-Side Template Injection)
原理:用户的输入先进入Controller控制器,然后根据哀求类型和哀求的指令发送给对应Model业务模型举行业务逻辑判断,数据库存取,末了把结果返回给View视图层,颠末模板渲染展示给用户。
利用点:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部门,模板引擎在举行目标编译渲染的过程中,实行了用户插入的可以破坏模板的语句,因而大概导致了敏感信息泄露、代码实行、GetShell 等问题。
注意:凡是使用模板的地方都大概会出现 SSTI 的问题
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
