SSTI注入漏洞和Web_python_template_injection和Easy_tornado

最新推荐文章于 2023-07-27 21:46:19 发布
最新推荐文章于 2023-07-27 21:46:19 发布
阅读量143 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fcz___/article/details/129406515
版权

最近做了一道题,是buu上的easy-tornado。可把我为难坏了。因为之前并没听说过SSTI模板注入。经过了几天,查阅了大量资料,明白了一丢丢。

先说一下漏洞是怎么产生的。因为现在的服务器端框架,如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式。而在这个MVC模式下,我们用户输入的请求会先进入Controller控制器。然后跟据根据请求的类型,发送给相应模块进行逻辑判断和数据库的存取。最后把结果返回到视图层。

洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web
应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell
等问题。其影响范围主要取决于模版引擎的复杂性。

那么什么叫渲染呢?先说说模板,模板是一种提供给程序员解析的语法。当服务器难道数据以后,放到模板中。让后模板中的渲染引擎会将这些数据转化为html文本返回给浏览器。这个就叫渲染。[个人理解]

模板注入,大概意思就是我们将一些有害代码通过有害请求提交给服务器,服务器把它编码为html文本返回给浏览器执行并返回值。这样我们就达到了注入的目的。

语法:

{% … %} 用来声明变量

{{ … }} 用来将表达式打印到模板输出

{# … #} 表示未包含在模板输出中的注释

在模板注入中,主要使用的是{{}} 和 {%%}
注入思路:
利用命令进行查询(类似于sql注入)如:
获取内置类型所对应的类:

> (''__class__.mor__)(注意此处是双'_')
> {}__class__.bases__
> 等等

查看子类

__subclasses__()

初始化返回值

__init__

对包含函数全局变量的字典的引用

globals__

之后还可以跟.open('我们输入的命令').read来执行我们的命令结果并输出。
返回描述对象的字符串(可以理解为打印出来)

__str__

好,下面我们来看一道题。
攻防世界:Web_python_template_injection:
打开靶机
在这里插入图片描述

我们也看不出有什么玄机。我们稍微尝试一下。访问一下flag.php

在这里插入图片描述

现在就可以猜个差不多了。像这种返回值很多都是SSTI模板注入。我们再实验一下,试一下flag={{3*2}}看看什么结果。

在这里插入图片描述
看,他说’6not find ‘说明3*2被执行了。那就证明了存在模板注入。
那我们就开始查询payload:/flag={{’‘.class}}
在这里插入图片描述
所以说这个变量的类是str。然后从这个类中找他的基类,payload:/flag={{’‘.class.mro}}
在这里插入图片描述
然后我们就可以从其中任意一个基类查找他的引用表列,payload:/flag={{’'.class.mro[2].subclasses()}}
在这里插入图片描述
再来介绍一下os模块:

os模块是Python中整理文件和目录最为常用的模块,该模块提供了非常丰富的方法用来处理文件和目录。

也就是所我们找到了引用os模块的基类就可以找到存放fllag的文件。os模块
从其中可以找到我们想要 所在的 site._Printer 类,它在列表的第七十二位所以我们构造__subclasses__()[71](我也不知道为什么是71,搞了半天没弄懂,呜呜呜)。payload:/flag={{‘’.class.mro[2].sub
classes()[71].init.globals[‘os’].popen(‘ls’).read()}}。
在这里插入图片描述
可以看到flag是在一个名为fl4g的无后缀文件中。我们cat flag。payload:/flag={{‘’.class.mro[2].sub
classes()[71].init.globals[‘os’].popen(‘cat fl4g’).read()}}。
出来了。
再看看buu的题:[护网杯 2018]easy_tornado:
打开靶机

在这里插入图片描述
我们挨个看:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到flag.txt中说flag在/fllllllllllllag中,welcome.txt中只有一个render。查了一下才知道:

r ender是使用js的完全编程能力来渲染页面,即用js来构建DOM.

那么就想到了ssti模板注入。hint.txt中说md5(cookie_secret+md5(filename))是获得flag的方法。
仔细观察会发现url的形式都是:/file?filename=/hints.txt&filehash=31c37b7829da13445b849896c8a10517
filename我们知道是/fllllllllllllag问题是怎么找cookie_secret。查阅资料后,我知道了cookie_secret可以在浏览器中设置cookie。但是Cookie并不安全,客户端可以轻松修改。如果你需要设置Cookie,例如,识别当前登录的用户,则需要对cookie签名以防止伪造。Tornado支持使用set_secure_cookie和get_secure_cookie方法签名的cookie。 要使用这些方法,您需要在创建应用程序时指定名为cookie_secret的密钥。

在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量

所以我们尝试注入。先试验一下:我们改变filehash的值,然后报错了。
在这里插入图片描述
再实验一下是否可以注入payload:error?msg={{datetime}}(在Tornado的前端页面模板中,datetime是指向python中datetime这个模块)
在这里插入图片描述
好的存在注入点,我们再次注入,payload:error?msg={{handler.settings}}
在这里插入图片描述
好的出来了我们再去哈希一下然后payload:/file?filename=/fllllllllllllag&filehash=1626467bafc734338e47716cdc66f70f
在这里插入图片描述
好的出来了。
怎么说呢,感觉好难的。这一个知识点搞了3天,感觉还是不太明白。谁理解的透彻啊,教教我啊。
最后养养眼。
请添加图片描述

请添加图片描述
参考链接:
https://www.cnblogs.com/bmjoker/p/13508538.html
http://t.csdn.cn/NW1Ur
http://t.csdn.cn/ZQtFs
等等

寡人略秀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全 | CTF】护网杯2018easy_tornado解题详析(TornadoSSTI注入
等风来
08-24 3864
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
[护网杯 2018]easy_tornado(SSTI服务器端模板注入)
weixin_45253573的博客
11-12 652
tornado Tornado是一种 Web 服务器软件的开源版本。Tornado 和主流Web 服务器框架(包括大多数 Python 的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快。 可以考虑服务器端模板注入 参考SSTI完全学习 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行,SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty
SSTIpython-Tornado
最新发布
m0_74317362的博客
07-27 245
{{2}}就可以得到回显,说明此处是可能存在SSTI注入漏洞的。回显的结果是orz。因此我们可以猜测出,此处是出现了过滤。
护网杯 2018]easy_tornado 1--SSTI
cainiao17441898的博客
04-28 252
文章目录前言STEP1-收集下有用的信息STEP2-查找cookie值STEP3-用提示信息获得flag 前言 一道简单的SSTI题。 SSTI:服务端模板注入是由于服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而导致了敏感信息泄露、代码执行、GetShell 等问题。 STEP1-收集下有用的信息 打开后发现有三个文件,都打开看看。 提示说flag在flllllllllllllag文件里面。 render函数:render函数,能创
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 868
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入python21.2.3.4.5.6.python31.2.
Blind_SPOT:盲点是一个python工具,用于盲注漏洞,基于SQLi时间,命令注入,代码注入SSTI
05-30
盲点盲点是一个python工具,用于盲注漏洞,基于SQLi时间,命令注入,代码注入SSTI要求 :- Python3 请求和 colorama 库用法 :- -u ===>目标网址在您的注入区域或参数中添加 [*] -p payload_list ,有 r zahir009 ...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
Server-Side Template Injection (SSTI) 是一种严重的网络安全漏洞,尤其在现代Web应用程序中,它可能导致远程代码执行(RCE)。2015年,James Kettle在黑帽大会上详细阐述了这种攻击方式,强调了它如何被误认为是跨...
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或执行任意系统命令。在本文中,我们将深入探讨Flask框架使用的...
模板注入与_FLASK.pdf
01-02
模板注入,全称为Server Side Template Injection,是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意输入作为模板字符串的一部分,从而在服务端的模板引擎解析时执行函数调用或命令,可能导致敏感信息泄露、...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XXE漏洞获取root私钥
Zyu0
12-02 1239
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XML外部实体(XXE)注入提权
有关于服务端模板注入ssti攻击)——BUUCTF - easy_tornado
ancan8807的博客
09-07 1096
打开题目出现3个链接 /flag.txt 中提示flag in /fllllllllllllag /welcome.txt 中提示 render /hints.txt 中提示 md5(cookie_secret+md5(filename)) 直接访问/fllllllllllllag失败。 百度了render可知,render是python的一个模板,他们的url都是...
[护网杯 2018]easy_tornado 1(STTI模板注入+Tornado的secret_cookie)
Home to come
08-19 1416
本文为个人刷题记录,不记录完整步骤,主要记录比较有感触的知识点 SSTI注入 参考:SSTI完全学习 SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言
python模板注入_python SSTI tornado render模板注入
weixin_34942265的博客
02-04 768
原理tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。简单的理解例子如下:-----------------------------------------------------------------------------...
护网杯-easy_tornado
wyj_1216 House
10-14 7630
进入题目网站,发现三个文件 首先进入第一个文件Orz.txt,发现提示渲染函数render(),直接将文件内容显示在网页上 再进入第二个文件hint.txt,发现提示md5(cookie_secret + md5(filename)),即先将filenamemd5加密,再将cookie_secret与md5加密后的filename进行md5加密,也就是说,目前我们需要知道的是filename和...
SSTI (服务器模板注入)
热门推荐
Hydra的博客
11-02 2万+
 先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request....
XCTF-攻防世界CTF平台-Web类——15、easytornadoSSTI服务器模板注入Tornado 框架render渲染函数、MD5加密)
Onlyone_1314的博客
12-11 2715
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,TornadoPython的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
python SSTI tornado render模板注入
qq_45951598的博客
12-17 2387
原理 tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。 简单的理解例子如下: import tornado.ioloop import tornado.web class MainHandler(tornado.web.RequestHandler): def get(self): self.render(
ssti模板注入(入门级)Web_python_template_injection
qq_62046696的博客
05-29 706
Web_python_template_injection(攻防世界进阶) 打开界面判断一下是否是ssti注入? 输入{{7*7}}执行成功得到49,说明存在ssti模板注入 __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码或获取敏感信息。 Python 作为一种流行的 Web 开发语言,广泛应用于 Web 应用程序中。Python Web 框架(如 Flask、Django 等)通常使用模板引擎来生成动态内容。在模板引擎中,可以使用变量、表达式、条件语句、循环语句等功能来生成动态内容。然而,如果在模板引擎中直接使用用户输入作为变量或表达式的一部分,而没有对用户输入进行适当的验证和过滤,就可能导致模板注入漏洞。 例如,在 Flask 应用程序中,可以使用 Jinja2 模板引擎来生成动态内容。如果在模板中使用了用户输入的变量,攻击者可以构造恶意输入来执行任意代码。例如,以下代码中的 name 变量可能是用户输入的: ```python from flask import Flask, render_template, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', '') return render_template('index.html', name=name) if __name__ == '__main__': app.run(debug=True) ``` 在 index.html 中,可以使用 {{ name }} 来显示用户输入的 name 变量。如果攻击者在 name 中注入了模板代码,就可能导致模板注入漏洞。例如,攻击者可以构造如下的输入: ``` {{ ''.__class__.__mro__[1].__subclasses__()[414]('/etc/passwd').read() }} ``` 这段代码在模板引擎中会被解释为调用 Python 的 subprocess.Popen 函数执行命令 /etc/passwd,并读取其输出。攻击者可以通过这种方式执行任意代码,获取敏感信息或者直接控制服务器。 为了防止 SSTI 漏洞,开发人员应该对用户输入进行严格的验证和过滤,避免在模板引擎中直接使用用户输入作为变量或表达式的一部分。可以使用 Python 的安全模板引擎(如 jinja2-sandbox、jinja2-timeout 等)来限制模板执行的权限,或者使用模板引擎提供的安全过滤器(如 escape、safe 等)来过滤用户输入。此外,还应该及时更新 Web 应用程序和相关组件,以避免已知的漏洞攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值