服务端模板注入攻击原理以及实战(SSTI)

已于 2022-04-10 17:32:24 修改
阅读量3.7k 收藏 15
点赞数 5
分类专栏: ctf web安全 文章标签: 安全 经验分享 网络安全
于 2022-04-10 17:30:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45894840/article/details/124080207
版权
web安全 同时被 2 个专栏收录
16 篇文章 15 订阅
订阅专栏
ctf
11 篇文章 7 订阅
订阅专栏

什么是模板

简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板
模板看起来如下:

hello{user.name}
他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐

这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如:

hello{{user.name}}

这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用

什么是模板注入

如题所示,它就是存在于web应用中的注入漏洞,例如:

template = "Bio: {{ user.bio }}"
render(template)

如果使用此模板显示用户的输入,那么它是完全安全的,因为我们所做的只是从数据库中获取当前用户的信息,然后将其返回给用户,但下面这个例子就不太一样了:

template = "Bio:  " + USER_INPUT
render(template)

如果用户的输入的成为模板的一部分,那么我们就有一个大问题,因为模板有能力执行任意代码,所以用户可以在服务器上获得一个shell
这种漏洞通常被称为服务器模板注入,攻击者可以在其中注入恶意模板代码来获得shell,但需要注意的一点是,她不仅限于服务器,只要模板可用,漏洞就可以存在于任何地方

实战

实战题目为:[护网杯 2018]easy_tornado
进入网站首页,发现了三个提示
在这里插入图片描述
一个是flag在/fllllllllllllag文件里
在这里插入图片描述
一个是render这个python函数,作用是通过传递不同的参数形成不同的改变
在这里插入图片描述
一个是我们要如何访问flag的提示
在这里插入图片描述

md5(cookie_secret+md5(filename))

意思是需要filehash这个GET参数需要filename(也就是/fllllllllllllag)与cookie_secret的md5加密才能访问最终的flag值
我们要想办法获取cookie_secret的值
我们先把/fllllllllllllag输入进去试试
在这里插入图片描述
在这里插入图片描述
发现提示?msg=Error,我们修改Error这个字符串试试
在这里插入图片描述发现在后面跟上{{}}也能用,这就是服务端模板注入攻击
在这里插入图片描述
然后我们需要想办法获得cookie_secret的值,题目是easy_tornado,tornado是一个框架,参考官方文档,发现存在附属文件handler.settings

官方文档:https://www.tornadoweb.org/en/latest/guide/templates.html#template-syntax
https://www.cnblogs.com/bwangel23/p/4858870.html

我们访问这个文件看看
在这里插入图片描述
成功的出现了我们的cookie_secret的值,接下来只需要按照之前的提示操作即可

md5(cookie_secret+md5(filename))

首先是对flag文件名/fllllllllllllag的md5加密,然后将cookie_secret与加密后的flag的MD5值再进行一次加密

在这里插入图片描述
在这里插入图片描述
加密完成后访问网站
在这里插入图片描述
得到flag

总结

在模板中不安全地嵌入用户输入会导致服务器端模板注入,这是一个非常容易被误认为是跨站点脚本(XSS) 或完全遗漏的严重漏洞。与 XSS 不同,模板注入可用于直接攻击 Web 服务器的内部结构,并经常获得远程代码执行 (RCE),将每个易受攻击的应用程序变成潜在的支点。
有什么不懂的可以加我qq:3316735898

Ba1_Ma0
关注
专栏目录
服务器端模板注入 (SSTI) 漏洞实战与技巧,网络高级工具透明代理的几种实现方式
代码讲故事
12-08 962
服务器端模板注入 (SSTI) 漏洞实战与技巧,网络高级工具透明代理的几种实现方式。 SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。比如python的flask、php的thinkphp、java的spring等框架一般都采用MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
黑客必杀技能之一,彻底掌握SSTI模板注入漏洞使用方法,如何构造有效载荷?利用攻击载荷达成CTF漏洞静态打桩获取敏感信息远程执行代码,攻击案例实战包括海洋cms,74cms,ofcms等
代码讲故事
12-29 1062
黑客必杀技能之一,彻底掌握SSTI模板注入漏洞使用方法,如何构造有效载荷?利用攻击载荷达成CTF漏洞静态打桩获取敏感信息远程执行代码,攻击案例实战包括海洋cms,74cms,ofcms等。 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
SSTI模板注入
Lemon's blog
05-09 2476
前言: 这几天刷题一直遇到考察SSTI模板注入的题,之前也没有好好了解过,如果叙述原理的话需要扎实的python基础,现在python还学的不是太好,就以遇到的CTF题做一个总结。 什么是模板引擎 模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过模板引擎生成一个HTML代码。 什么是服务端模板...
服务器端模板注入
Eason_LYC安全白帽子的成长博客
05-17 1180
服务器端模板注入,是一类注入难度底,但是需要知识面广的一种漏洞。
基础漏洞——SSTI(服务器模板注入
最新发布
2301_79096184的博客
09-27 1048
首先可以通过SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。有些框架一般都采用MVC的模式。用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。MVC架构M:mysqlV:VIEWC:控制器C:控制器——>M:mysql——>V:VIEW。
Flask(Jinja2) 服务端模板注入漏洞
浅笑996的博客
12-11 1372
原理 参考文章: https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf http://rickgray.me/use-python-features-to-execute-arbitrary-codes-i...
网络安全入门过程教程:服务器端模板注入 (SSTI)
wuli1024的博客
12-12 1518
每个应用程序都会有动态的部分,“动态的部分” 是经过服务器传输展示的。例如:微信卡片左边固定展示:昵称、性别、微信号、地区。 而右边是你的个人信息。左边是固定的,右边是动态的(你可以任意更改)。服务器模板就是提供一种快捷美观的方法来写代码展示出来。好比的说,以PHP语言为例,如果我们不使用服务器模板来展示以上内容,那么代码是这样的: 是不是一点都不美观?接下来使用服务器模板服务器模板来展示: 对比可以看出来,使用了服务器模板看起来会美观一些。以生活中的例子来说,服务器模板就同简历模板类似,模板提供了格式,你
Day66:WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
2301_82257383的博客
04-26 423
MyBatis支持两种参数符号,一种是#,另一种是KaTeX parse error: Expected 'EOF', got '#' at position 4: ,**#̲使用预编译,使用拼接SQL。(造成注入原因也是因为使用了$进行拼接)**:由于使用#{}会将对象转成字符串,形成order by “user” desc造成错误,因此很多研发会采用${}来解决,从而造成注入这个SQL语句的目的是将0x7e以及当前用户的用户名插入到指定的XML字段中,从而执行恶意操作或泄露敏感信息。
红队专题-Web安全/渗透测试-注入攻击
aming小老弟
10-27 211
Sql Inject(SQL注入)概述 哦,SQL注入漏洞,可怕的漏洞。在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞, 其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
服务器端模板注入(SSTI)
nextlubricate的博客
11-21 531
判断模板: X-Powered-By:ThinkPHP Python 【Mako、Tornado】 PHP 【Twig】 127.0.0.1/ssti={{4*4}} #如果算出16,可以推断出使用Mako、Tornado、Twig模板 PHP 【Smarty】 Java 【Freemarker】 127.0.0.1/ssti=${2*2} //如果算出4,可以推断出使用Smarty、Freemarker模板 Python 【Jinja】 127.0.0.1/ssti=${2*5} //如果算出55.
解释服务器端模板注入 渗透
qq_42468111的博客
12-03 415
环境建设: 我们从一个用python编写的基本的烧瓶Web应用程序开始(我将使用python 2),如下所示: from flask import * app = Flask(__name__) @app.route("/") def home(): return "Hello, World!" if __name__ == "__main__": app.run(de...
超详细SSTI模板注入漏洞原理讲解
qq_61955196的博客
08-11 4783
本文指在让第一次接触SSTI注入漏洞的师傅们能更加详细的了解和明白该漏洞的原理
服务端模板注入(SSTI)
qq_46263951的博客
08-27 270
之前做题一直没有深入了解这个模板,对它的认识只停留在测试{{2*2}}是否可以得出结果4。 这里就先简单介绍在 CTF 中,最常见的Jinja2 的 SSTI 漏洞。 Flask SSTI 题的基本思路就是利用 python 中的魔术方法找到自己要用的函数。简单来说就是从基本类开始向外来查找可利用的子类。 __dict__:保存类实例或对象实例的属性变量键值对字典 __class__:获取当前对象的类 __mro__:返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __...
有关于服务端模板注入ssti攻击)——BUUCTF - easy_tornado
ancan8807的博客
09-07 1128
打开题目出现3个链接 /flag.txt 中提示flag in /fllllllllllllag /welcome.txt 中提示 render /hints.txt 中提示 md5(cookie_secret+md5(filename)) 直接访问/fllllllllllllag失败。 百度了render可知,render是python的一个模板,他们的url都是...
服务端模板注入漏洞SSTI
weixin_43873557的博客
02-21 440
所有用户的输入都存在风险 tempalte = "Bio:{{user.bio}}" render(template) 数据交互Bio(user对象的bio属性) 当user.bio是正常输入时,例如:Bio:{{7*7}},那就是正常的显示输入。 当user.bio是恶意输出时,例如:Bio:{{exec(‘ls’)}},就会执行系统命令。 基于python的flask web架构做一个简单的测试。 构造payload {{import os;os.system("id")}} 失败了,这是因为J
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1708
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
服务端模板注入SSTI)下
why811的博客
07-18 468
对于检测来说,模板注入漏洞通常Payload有较为明显的特征,因此可以通过这些特征去完善WAF检测规则,模板注入的危害通常是导致代码执行,具体的危害根据攻击者执行代码的内容来确定,对于比较敏感的行为如命令执行或者文件读取等,可以通过HIPS或者RASP进行检测,但是对于一些不是特别敏感的行为,如仅获取敏感信息,对于这类行为不是很好检测,因此RASP在防御中,还是需要去对模板注入触发的函数进行打点,并进行分析。当settings文件配置不当的时候可以通过include标签和extends标签,读取文件内容。
模板注入学习
qq_44111753的博客
02-03 2426
模板引擎:是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。 模板渲染:拿到数据,塞到模板里,然后让渲染引擎将塞进去的东西生成 html 的文本,返回给浏览器 好处:展示数据快,大大提升效率。 后端渲染:服务器计算好最终的html字符串发送给用户,即浏览器只需要进行html解析以及通过操作系统提供的操纵显示器显示内容的系统调用在显示器上把HTML所代表的图像显示给用户。 好处:模板统一在后盾,前端(相对)省事,不占用客户端运算资
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ba1_Ma0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值