1. 软市首页
  2. 行业观察

buu(ssti模板注入、ssrf服务器请求伪造)

行业观察

目录

目录

[CISCN2019 华东南赛区]Web11

[BJDCTF2020]EasySearch

[De1CTF 2019]SSRF Me

[CSCCTF 2019 Qual]FlaskLight

模板注入过滤 globals,拼接绕过

[HITCON 2017]SSRFme

[RootersCTF2019]I_

二个方法都可以  lipsum

[CISCN2019 华东南赛区]Web11

打开界面,好熟悉可能是做过一道类似的题,是通过ip进行注入的题目

 最下面给出了smarty模板注入

会随着我的x-Forwarded-for的改变而改变,用if标签

{if system(‘cat /flag’)}{/if} 

 

[BJDCTF2020]EasySearch

 打开界面源码,什么都没有发现,试一下万能密码之类的登录,只返回fail

那么尝试一下扫目录,发现index.php.swp然后访问

发现页面源码,看完代码,只要密码经过md5加密的前六位6d0bc1相同,便可成功登陆

那么构建脚本

 2020666

 

 一般这种界面都存在ssti注入,可能是cxk或者ip那里,

搜索一下,shtml的信息,补充一下什么是ssi注入,SSI 注入全称Server-Side Includes Injection(服务端包含注入),ssi可以赋予html静态页面的动态效果,通过ssi执行命令,返回对应的结果,当在 站目录中发现了.stm .shtm .shtml或在界面中发现了

{$what}

Welcome, {{username}}

{%$a%}

就容易产生ssi注入,此处问题的其注入格式为:
username=&password=2020666

[De1CTF 2019]SSRF Me

打开界面,整理一下python源码,表面是一道ssrf题,其实是一道python flash框架审计题



    

  1. #! /usr/bin/env python
    2. 

  2. # #encoding=utf-8
    3. 

  3. from flask import Flask
    4. 

  4. from flask import request
    5. 

  5. import socket
    6. 

  6. import hashlib
    7. 

  7. import urllib
    8. 

  8. import sys
    9. 

  9. import os
    10. 

  10. import json
    11. 

  11. reload(sys)
    12. 

  12. sys.setdefaultencoding('latin1')
    13. 

  13.  
    14. 

  14. app = Flask(__name__)
    15. 

  15.  
    16. 

  16. secert_key = os.urandom(16)
    17. 

  17.  
    18. 

  18. class Task:
    19. 

  19.     def __init__(self, action, param, sign, ip):
    20. 

  20.         self.action = action
    21. 

  21.         self.param = param
    22. 

  22.         self.sign = sign
    23. 

  23.         self.sandbox = md5(ip)
    24. 

  24.         if(not os.path.exists(self.sandbox)):
    25. 

  25.             os.mkdir(self.sandbox)
    26. 

  26.  
    27. 

  27.     def Exec(self):
    28. 

  28.         result = {}
    29. 

  29.         result['code'] = 500
    30. 

  30.         if (self.checkSign()):
    31. 

  31.             if "scan" in self.action:
    32. 

  32.  tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
    33. 

  33.  resp = scan(self.param)
    34. 

  34.  if (resp == "Connection Timeout"):
    35. 

  35.      result['data'] = resp
    36. 

  36.  else:
    37. 

  37.      print resp
    38. 

  38.      tmpfile.write(resp)
    39. 

  39.      tmpfile.close()
    40. 

  40.  result['code'] = 200
    41. 

  41.             if "read" in self.action:
    42. 

  42.  f = open("./%s/result.txt" % self.sandbox, 'r')
    43. 

  43.  result['code'] = 200
    44. 

  44.  result['data'] = f.read()
    45. 

  45.             if result['code'] == 500:
    46. 

  46.  result['data'] = "Action Error"
    47. 

  47.         else:
    48. 

  48.             result['code'] = 500
    49. 

  49.             result['msg'] = "Sign Error"
    50. 

  50.         return result
    51. 

  51.  
    52. 

  52.     def checkSign(self):
    53. 

  53.         if (getSign(self.action, self.param) == self.sign):
    54. 

  54.             return True
    55. 

  55.         else:
    56. 

  56.             return False
    57. 

  57.  
    58. 

  58. @app.route("/geneSign", methods=['GET', 'POST'])
    59. 

  59. def geneSign():
    60. 

  60.     param = urllib.unquote(request.args.get("param", ""))
    61. 

  61.     action = "scan"
    62. 

  62.     return getSign(action, param)
    63. 

  63.  
    64. 

  64. @app.route('/De1ta',methods=['GET','POST'])
    65. 

  65. def challenge():
    66. 

  66.     action = urllib.unquote(request.cookies.get("acti

                                                        
    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!
                            
    67.
上一篇 2022年9月21日
下一篇 2022年9月21日

相关推荐

首页
软件超市
企服市场
会员中心