vov4ick сказал(а):

Слепая SSTI - Опасные Шаги по Минному Полю

Приветствую читателей форума и любителей СTF Antichat.games, сегодня мы рассмотрим таск Минное Поле из категории Веб.
Первое что мы видим это игра сапер, поле с ячейками нажимая на которые появляется надпись:

Мы так же видим параметр ballooon=0 , в данном случае это номер ячейки. Щелкая по ним мы понимаем что поле состоит
из 400 ячеек. Мы можем пофазить эти значения сразу и найти что то интересное. Сделаем мы это в Burp , щелкаем по ячейке, ловим запрос и отправляем
это в интрудер.

Там мы добавляем нагрузку на наше значение, а в payloads выбираем Numbers и число 400 :

И нажимаем Start attack. После запуска мы найдем что искали:
Длинна ответа отличается от остальных. Значит это то, что нам нужно.

Подставив это число в наш параметр мы увидим:
Поздравляю! Вы нашли секретный воздушный шар №337, Хм..

При отправке запроса в рипитер мы видим надпись Server: Werkzeug/2.3.7 Python/3.9.18

Начинаем гуглить:

Это подарок на самом деле, здесь мы понимаем велика вероятность что это ssti.
При подстановке {{300%2b37}} вместо числа 337 мы получаем тот же результат.
Но получить конфиг или что то другое не получается. Здесь мы понимаем что это слепая ssti.
Нам нужно получить RCE в данном случае, и как можно проще. В данном случае я воспользовался SSTIMAP.

Здесь подробно описано что нам доступно, а что нет. OS shell нам ничего не даст в данном случае при слепой технике, а вот реверс шелл то что нам нужно!

Настраиваем Ngrok и вешаем прослушку

Это будет наш ip и port
Далее прописываем команду и получаем наш шелл.

Оказалось не так сложно. Далее нам нужно найти флаг, показывать я это не буду. Но не уходите в дебри, смотрите основную директорию командой ls -la и ищите нужный файл.
Решений данного таска и инструментов для этого может быть множество, я лишь показал возможный сценарий.
Спасибо за внимание , создателем тасков отдельное спасибо.