当然这样一个一个递进上去的方法有一些麻烦,所以我们可以使用__mro__魔术方法来一步到位看到类的所有父类
由于它是以数组形式的所以我们在后面加上下标就能拿到指定的类了
或许你看到这里可能感觉没什么用的样子,但是我希望能把这里理解的透彻一些,这样对于后面理解攻击payload会很有帮助
我们在拿到object类后就可以通过object类来查找python中的所有object类的子类,当然这其中会有我们能通过该类rce的子类。我们通过__subclasses__来获取当前类的所有子类
可以发现有很多类,前面我们也说到了python的所有类最终都是继承object类的,因此这里存在大量的类,当然我们最终的目的是要去进行rce,因此我们应该寻找与之相关的类,这里就给出一个类<class ‘os._wrap_close’>,我们在这里找一下,一般大概在第139个,不过具体的环境还是要具体分析,比如我这里就是138
跟前面的__mro__魔术方法一样是用数组表示的,可以用下标找到对应的类。接下来我们给这个类进行一些初始化方法
初始化方法后可以通过__globals__魔术方法来返回当前类方法中的全局变量字典,可能有一点点抽象,我也不太懂具体是返回什么,但是大致就是返回当前类的全局变量
可以发现很多全局变量都在里面,我们需要最后能够进行rce,因此应该找到能执行系统命令的方法,这里用popen函数来执行系统命令,在后面加上具体的函数名即可找到对应的函数
我们执行一下shell命令,这里执行一下whoami,这里一定要记得用.read()来读取一下,因为popen方法返回的是一个与子进程通信的对象,为了从该对象中获取子进程的输出,因此需要使用read()方法来读取子进程的输出】。
可以发现成功执行系统命令,这里我们就其实通过类的继承关系里大致讲完了SSTI的一个攻击的思路。
魔术方法
上面用的魔术方法这里总结一下,其他更多的魔术方法之后在补充一下
__class__ :返回类型所属的对象
__mro__ :返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__ :返回该对象所继承的父类
__mro__ :返回该对象的所有父类__subclasses__() 获取当前类的所有子类
__init__ 类的初始化方法
__globals__ 对包含(保存)函数全局变量的字典的引用
SSTI注入
前面的模板渲染函数中我们说到了{{}}包裹我们的恶意代码会在渲染的时候被渲染解析,例如{{2*2}}就会返回结果4,我们可以试一下
可以发现渲染解析了,那么我们就可以通过上面的继承关系来进行获取内置类的操作,因为我们不知道有什么现成的类,因此我们可以直接使用下面这些来直接获取对应的类
‘’.__class__
().__class__
[].__class__
“”.__class__
{}.__class__
下面是他们对应的类,这里我们说一下为什么,因为’'与""可以表示字符串,因此它们的__class__类就是字符串本身的<class ‘str’>类。其他的分别代表元组,列表和字典的类
之后我们就按照上面的做法一步步来就好了,**注意这里不能直接把payload直接复制粘贴上去,因为它需要我们一步一步往上找,一步到位可能会报错,**接下来我们找这些类的object类,这里就以’'.__class__为例
由于该类没有指定的父类,因此其父类就是object,拿到object后我们就开始找其所有子类了
前面也说过了,这里就不再过多讲解了,我们进行下一步初始化类方法
接着找其所有的全局变量,并找到全局变量中的popen函数
接下来就能进行rce了,执行一下whoami
可以看到成功执行了系统命令
payload:
{{‘’.__class__.__base__.__subclasses__()[138].__init__.__globals__‘popen’.read()
PS:在说一遍不是所有的环境都是138是<class ‘os._wrap_close’>类,具体要自己找是第几个。
其他的一些payload
{{lipsum.__globals__.__builtins__.__import__(‘os’).popen(‘ls’).read()}}
总结
本篇文章主要是讲了SSTI最入门最基础的内容,因为很多博客都没有很具体的讲继承关系和对应的魔术方法具体的含义,因此才自己编写了更基础入门的SSTI的漏洞讲解。如果有任何错误的地方希望大佬们能指出来,非常感谢~
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-BiFdL5xh-1713092524889)]
扫一扫
940
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
