一,简介。
SSTI(Server-Side Template Injection)中文是服务器端模板注入。eg:python中的flask、php的thinkphp、java的spring等框架(MVC),用户输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
二.flask原理基础
1.什么是flask?
一个用python编写的轻量级web应用框架。Flask基于Werkzeug WSGI工具包和Jinja2模板引擎
特点:良好的文档、丰富的插件、包含开发服务器和调试器、集成支持单元测试、RESTful请求调度、支持安全cookies、基于Unicode,python可以用flask直接启动一个web服务页面。
2.flask框架示例(在kali中python的venv中运行)
(1)环境配置
在上述示例中。如果使用相对路径则为物理环境的py,如果是绝对路径就是虚拟环境的py。
Vim编辑器
Vim是一个功能强大的文本编辑器,但相对于nano来说,它的学习曲线较陡峭。不过,一旦掌握了Vim的基本操作,你会发现它非常高效。
- 进入插入模式:在Vim中,默认情况下处于普通模式(Normal Mode),你不能直接输入文本。要进入插入模式(Insert Mode)以编写文本,你可以按
i
键(表示“insert”)。- 保存文件:在插入模式下编写完文件后,你需要回到普通模式来保存文件。按
Esc
键可以退出插入模式,回到普通模式。然后,输入:wq
(表示“write and quit”)并按下Enter
键来保存文件并退出Vim。如果只想保存文件而不退出Vim,可以输入:w
并按下Enter
键。
(2) flask框架
1.用vim编辑器在一定路径下按flask框架编辑一个py文件,然后运行,在结尾处可以看到一个地址,在kali中访问它,得到我们kali文件所要得的结果。
注意:此时只能在本机访问,就是虚拟机内,因为给出的地址是本机地址。
2. 基本框架为
3. 可以通过不同的路由来对不同的页面进行访问。
4.进行外部访问
通过修改run后面的host为(0.0.0.0)即监听所有的,此时就会监听到我们的物理接口,可以在外部访问。
from flask import Flask
app = Flask(__name__)
@app.route('/')
def hello():
return "passion"
@app.route('/')
def ok():
return "freedom"
if __name__=='__main__':
app.run(host='0.0.0.0')
修改的代码和外部访问
我们运行之后。可以看到出现了一个新的地址
也可以修改端口
3.flask变量规则
1.通过向规则参数添加变量部分,可以动态构建url。
这里面是类似于传参的过程,用格式化字符串的方式从url将所需传到内容之中。url为:127.0.0.1:5000/hello/动态变量(作为关键字参数传递给与规则相关的函数)
from flask import Flask
app = Flask(__name__)
@app.route('/hello/<name>') //url提交
def hello(name): //提交后通过这个方法获取内容
return "hello %s" % name //将得到的内容放在这里。%s是格式化字符串。%d接受整数,%f接受浮点值
if __name__=='__main__':
app.run(debug=True)
允许添加不同类型的变量
from flask import Flask
app = Flask(__name__)
@app.route('/blog/<int:postID>') //此处为添加整数型
def show_blog(postID):
return "Blog Number %d" % postID
@app.route('/rev/<float:revNO>') //添加浮点数型
def revision(revNO):
return "Revision Number %f" % revNO
if __name__=='__main__':
app.run(debug=True)
整数型实验结果
浮点数型结果
2. Flask HTTP方法
简介:http协议是万维网中数据通信的基础,该协议中定义了从指定url检索数据的不同方法
GET:以未加密的形式将数据发送到服务器,是最常见的方法。
HEAD:和GET相同,但是没有响应体。
POST:用于将HTML表单数据发送到服务器,post方法接收的数据不由服务器缓存。
PUT:用上传的内容替换目标资源的所有当前表示。
DELETE:删除由URL给出的目标资源的所有当前表示。
示例:在数据交互的时候,需要用到哪种方式要提前规定好,避免发生错误
@app.route('/login',methods = ['POST', 'GET']) 可以POST提交
def login(): 也可以GET提交
if request.method == 'POST':. print(1)
user = request.form['ben']
return redirect(url_for('success',name = user)) redirect重定向
else: print(2) /success/user
user = request.args.get('ben')
return redirect(url_for('success',name =user))
4.flask模版介绍
(1)视图函数
主要作用是:生成请求的响应,包括处理业务逻辑和返回响应内容(把业务逻辑和表现内容放在一起,会增加代码的复杂度和维护成本),因此我们使用flask模版。
注::渲染:使用真实值替换变量,再返回最终得到的字符串(flask常用jinja2(模版引擎)来渲染)
在分开以后
视图函数只负责业务逻辑和数据处理;模版取到视图函数的结果来进行展示。
(2)flask模版函数
- render_template():加载html文件,默认文件路径在templates目录下。
- render_template_string():用于渲染字符串,直接定义内容。
5.flask的渲染方法
有render_template和render_template_string两种。
render_template()是用来渲染一个指定的文件的。return render_template(‘index.html’)
render_template_string则是用来渲染一个字符串的。SSTI与这个方法密不可分。
html = '<h1>This is index page</h1>'
return render_template_string(html)
flask是使用Jinja2来作为渲染引擎的。
不正确的使用flask中的render_template_string方法会引发SSTI。
三,模版注入漏洞介绍
(一).flask漏洞
危害:可能造成任意文件读取和RCE远程控制后台系统
漏洞成因:渲染模板时,没有严格控制对用户的输入;使用了危险的模板,导致用户可以和flask程序进行交互。flask是基于python开发的一种web服务器,那么也就意味着如果用户可以和flask进行交互的话,就可以执行python的代码,比如eval,system,file等等等等之类的函数。
1,{{}}
当内容被{{}}扣起来以后,先进行转义,再被输出,不会执行
from flask import Flask, request, render_template_string
app = Flask(__name__)
@app.route('/', methods=['GET'])
def index():
string = request.args.get('admin') # GET获取admin的值赋值给string
html_str = '''
<html>
<head></head>
<body>{{str}}</body>
</html>
'''
# str被{{}}包括起来,会被先转义后输出,所以不会被执行
return render_template_string(html_str, str=string)
# str通过render_template_string加载到body中间
if __name__ == '__main__':
app.run(debug=True, host="0.0.0.0")
结果为
2,{}
{}内的字符串被当场代码执行
from flask import Flask, request, render_template_string
app = Flask(__name__)
@app.route('/', methods=['GET'])
def index():
string = request.args.get('admin')
html_str = '''
<html>
<head></head>
<body>{}</body>
</html>
'''.format(string)
# string的值通过format()函数填充到<body>中间
# {}可以不填也可以填任意参数
return render_template_string(html_str)
# 把{}内的字符串当作代码指令执行
if __name__ == '__main__':
app.run(debug=True, host="0.0.0.0")
结果为
(二)继承关系
class A: pass class B(A): pass class C(B): pass class D(B): pass # 创建四个类,B类继承了A类,C、D类继承了B类 c = C() # 创建一个C的对象c print(c.__class__) # 显示当前类C print(c.__class__.__base__) # 显示当前类C的父类B print(c.__class__.__base__.__base__) # 显示父类B的父类A print(c.__class__.__base__.__base__.__base__) # 以此类推 print(c.__class__.__mro__) # 列出所有父类关系C->B->A->object(数组的形式) print(c.__class__.__mro__[1].__subclasses__()) # 数组中的第一位是0,显示B类下的所有子类
结果为
<class '__main__.C'>
<class '__main__.B'>
<class '__main__.A'>
<class 'object'>
(<class '__main__.C'>, <class '__main__.B'>, <class '__main__.A'>, <class 'object'>)
[<class '__main__.C'>, <class '__main__.D'>]
漏洞利用为子类通过父类向同父的另一子类进行命令执行
__class__ 返回类型所属的对象(当前类)
__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。(从当前类开始排,后面是前面的子类)
__base__ 返回该对象所继承的基类(当前类的父类)
// __base__和__mro__都是用来寻找基类的
__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表(当前类的子类,以数组形式展出)
(三)魔术方法
__class__ 返回类型所属的对象,就是当前类
__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。从当前类开始列出,前一个是后一个的子类,一直到object。
__base__ 返回该对象所继承的基类,也就是父类
__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
当前类的子类(以数组形式列出)
__init__ 类的初始化方法,查看类是否重载(程序在运行时就已经加载好了这个模块到内存中如果出现wrapper字眼,就是没有重载),
__globals__ 对包含函数全局变量的字典的引用,函数会议字典的形式返回当前对象的全部全局变量。
(四)常用注入模块
1.文件读取
查找子类_frozen_importlib_external.FileLoader
import requests
url = input('请输入url:')
post = input('请输入参数:')
method = input('请输入要查询的方法:')
for i in range(500):
data = {post: "{{().__class__.__base__.__subclasses__()[" + str(i) + "]}}"}
# 依据所需payload转变
try:
response = requests.post(url, data=data)
if response.status_code == 200:
if method in response.text:
print(i)
# print(response.text)
except:
pass
搜索需要的方法
__buitins__:对所有内置标识符直接访问
eval():内置函数,计算字符串表达式的值
popen():执行一个shell以运行命令
read():让页面回显出内容
2.内建函数eval执行命令
3.os模块执行命令
4.importlib类执行命令
5.linecache函数执行命令
6.subprocess.Popen类命令执行
使用模版的基本判断
(五)类的知识总结
__class__ 类的一个内置属性,表示实例对象的类。
__base__ 类型对象的直接基类
__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__() 返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__ 初始化类,返回的类型是function
__globals__ 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__ 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__() 实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__() 调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__ 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__ 动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__() 返回描写这个对象的字符串,可以理解成就是打印出来。
url_for flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app 应用上下文,一个全局变量。
request 可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1 get传参
request.values.x1 所有参数
request.cookies cookies参数
request.headers 请求头参数
request.form.x1 post传参 (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data post传参 (Content-Type:a/b)
request.json post传json (Content-Type: application/json)
config 当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g {{g}}得到<flask.g of 'flask_ssti'>
(六)常见过滤器
常用的过滤器
int():将值转换为int类型;
float():将值转换为float类型;
lower():将字符串转换为小写;
upper():将字符串转换为大写;
title():把值中的每个单词的首字母都转成大写;
capitalize():把变量值的首字母转成大写,其余字母转小写;
trim():截取字符串前面和后面的空白字符;
wordcount():计算一个长字符串中单词的个数;
reverse():字符串反转;
replace(value,old,new): 替换将old替换为new的字符串;
truncate(value,length=255,killwords=False):截取length长度的字符串;
striptags():删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格;
escape()或e:转义字符,会将<、>等符号转义成HTML中的符号。显例:content|escape或content|e。
safe(): 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}};
list():将变量列成列表;
string():将变量转换成字符串;
join():将一个序列中的参数值拼接成字符串。示例看上面payload;
abs():返回一个数值的绝对值;
first():返回一个序列的第一个元素;
last():返回一个序列的最后一个元素;
format(value,arags,*kwargs):格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出:Helloo? - Foo!
length():返回一个序列或者字典的长度;
sum():返回列表内数值的和;
sort():返回排序后的列表;
default(value,default_value,boolean=false):如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。
length()返回字符串的长度,别名是count
四,函数
1.config:
{{config}}可以获取当前设置,
如果题目类似app.config [‘FLAG’] =(‘FLAG’),那可以直接访问{{config[‘FLAG’]}}或者{{config.FLAG}}得到flag
2.self
{{self.dict._TemplateReference__context.config}} ⇒ 同样可以找到config
(一)继承关系
1.父类和子类:子类可以调用父类下的其他子类。
原因:python flask不能直接执行python指令
object是父子关系的顶端,所有的数据类型最终的父类都是object。