在ssti labs的使用上有点问题 - Githubissues

Marven11 / Fenjing

专为CTF设计的Jinja2 SSTI全自动绕WAF脚本 | A Jinja2 SSTI cracker for bypassing WAF, designed for CTF

Mozilla Public License 2.0

685 stars 43 forks source link

在ssti labs的使用上有点问题 #44

Open sw3rt opened 1 day ago

sw3rt commented 1 day ago

版本是0.6.10

python -m fenjing crack -u http://127.0.0.1:5000/level/2 -i code

在过ssti-lab level2的时候，waf绕过有点问题，可能是我姿势问题？？是我遗漏了什么吗？它显示waf过滤了这些，但实际上好像没这么多 INFO:[waf_func_gen] | These keywords might get banned: ['0"', '{{', '[', '~', '.', '*', ';', '|', '{{}}', '),)', '/', '{%%}', '{%', ':', '=', '\u', '))', ']', '%', '\', '\x', "'", '"', '}}'] 最后显示没法绕 WARNING:[full_payload_gen] | Every pattern we know is BANNED! There is Noway we can generate anything! WARNING:[cli] | Test form failed... 然后发现每题都没法绕过，不知是哪里的问题。求指导。

Marven11 commented 1 day ago

我看看

sw3rt commented 1 day ago

是不是ssti lab有个 “no this level”的提示让fenjing误认为为是waf，和这有关系吗

Marven11 commented 1 day ago

应该是，本来返回错误应该是返回状态码500的，但是因为返回了no this level所以fenjing就认为这是被waf了。我想想怎么修复

Marven11 commented 1 day ago

之前有一题是需要把payload放在双花括号里提交才能被waf检测，然后我就加上了把payload放在双花括号里提交的功能，但是这又导致sstilabs没法通过，这就矛盾了

Marven11 commented 1 day ago

既然没法正确检测什么关键字被ban，那我加一个选项，默认不要检测被ban的关键字，只靠页面hash检测就可以了

我试了一下，如果不检测什么关键字被ban, 只检测页面hash的话是可以通过ssti labs的，我看看怎么改

sw3rt commented 1 day ago

我有一个建议是可以加个参数，用户输入被ban时的回显内容关键字，就像一些sql注入脚本一样。不知可行性如何？

Marven11 commented 1 day ago

用户输入被ban时的回显内容关键字

不太理解，你是说让用户提供一个关键词，然后脚本看到这个关键字的时候就认为内容被ban?

sw3rt commented 1 day ago

差不多是这样

Marven11 commented 1 day ago

我看看

Marven11 commented 1 day ago

应该要加一个选项，感觉要同时改一下cli.py的代码结构，写起来有点啰嗦。时候不早了，我这周末写完发新版就行