学习笔记-SSTI

最新推荐文章于 2024-06-14 14:24:42 发布
最新推荐文章于 2024-06-14 14:24:42 发布
阅读量138 收藏
点赞数
文章标签: 学习 flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35360663/article/details/127639549
版权

SSTI

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

什么是模板

模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。

模板引擎也扩展了黑客的攻击面。除了常规的 XSS 外,注入到模板中的代码还有可能引发 RCE(远程代码执行)。通常来说,这类问题会在博客,CMS,wiki 中产生。虽然模板引擎会提供沙箱机制,攻击者依然有许多手段绕过它。

什么是 SSTI

  1. 如果攻击者能够控制要呈现的模板,服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,就可能导致上下文数据的暴露,甚至在服务器上运行任意命令的表达式。
  2. 服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行等问题。其影响范围主要取决于模版引擎的复杂性,所以说 用户的输入永远都是不可信的,凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言.

相关文章

相关案例

相关工具

靶场

SSTI 怎么产生的

以 PHP Twig 为例

  • 正确写法 ✔

    <?php
require_once dirname(__FILE__).‘/../lib/Twig/Autoloader.php‘;
Twig_Autoloader::register(true);

$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {{name}}", array("name" => $_GET["name"]));  // 将用户输入作为模版变量的值
echo $output;

    这段代码没有什么问题,用户的输入到时候渲染的时候就是 name 的值,由于 name 外面已经有 {{}} 了,也就是说,到时候显示的只是 name 变量的值,就算你输入了 {{xxx}} 输出也只是 {{xxx}} 而不会将 xxx 作为模板变量解析

  • 错误写法 ❌

    <?php
require_once dirname(__FILE__).‘/../lib/Twig/Autoloader.php‘;
Twig_Autoloader::register(true);

$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET[‘name‘]}");  // 将用户输入作为模版内容的一部分
echo $output;

    现在开发者将用户的输入直接放在要渲染的字符串中了

    注意:不要把这里的 {} 当成是模板变量外面的括号,这里的括号实际上只是为了区分变量和字符串常量而已**,于是我们输入 {{xxx}} 就非常的符合模板的规则,模板引擎解析了

以 python 的 jinja2 为例

  • 错误写法1 ❌

    @app.errorhandler(404)
def page_not_found(e):
    template = '''{%% extends "layout.html" %%}
{%% block body %%}
    <div class="center-content error">
        <h1>Oops! That page doesn't exist.</h1>
        <h3>%s</h3>
    </div>
{%% endblock %%}
''' % (request.url)
    return render_template_string(template), 404

    这里使用了一个字符串的格式化来传递一个 url ,但是还是用模板的方式去渲染的啊,也就是说还是支持模板引擎支持的语法,那我们为什么不能输入模板引擎的语法呢?于是在 URL 后面跟上 {{7+7}} 自然而然就能计算出 49 了

  • 错误写法2 ❌

    # coding: utf-8
import sys
from jinja2 importTemplate

template = Template("Your input: {}".format(sys.argv[1] if len(sys.argv) > 1 else '<empty>'))
print template.render()

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
OpenAIS学习笔记
hanyueqi的专栏
03-30 1869
OpenAIS 概况 资源、服务与节点关系:资源(vip、httpd、filesystem)或多个资源组合,服务运行在某个主机上,所有资源同时运行在一个节点上;资源类型:原生资源(运行于一个节点)、组资源、克隆资源、主从资源;资源故障转移:资源粘性(是否能远离该节点),位置约束,排列约束(优先运行),顺序次序(操作顺序); 节点存在方式 节点成员;等同的
Unet学习笔记
热门推荐
绝望的乐园
12-18 2万+
最近在看Unet,记录一下。 论文地址 https://arxiv.org/pdf/1505.04597.pdf 网络结构 图上画的还是很清晰的,但是对于不了解Unet结构的人来说,可能还是有一些不清楚的地方。我这里结合我看的时候的疑问,来讲一下Unet的结构的一些问题。 可以看到,输入是572x572的,但是输出变成了388x388,这说明经过网络以后,输出的结果和原图不是完全对应的,这在计...
SSTI 学习笔记
m0_63253040的博客
03-13 3291
PHP SSTI(Twig) 学习文章 进入环境,左上角有flag,hint 都检查看看 flag页面显示ip,hint页面源代码有提示 考虑XFF头或者referer头 测试一下 注:这里不用加上“;” 出来了 python flask ssti 学习文章 原理:因为对输入的字符串控制不足,把输入的字符串当成命令执行。 漏洞产生主要原因:render_template渲染函数的问题 渲染函数在渲染的时候,往往对用户输入的变量不做渲染,..
SSTI基础学习
qq_63267612的博客
07-10 3701
一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后再后
web入门--ssti
whisper921的博客
04-16 2725
web361 注入点是?name。 ?name={{''.__class__.__mro__[1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} 利用的是os._wrap_close类 得到flag ctfshow{77ca18dd-38c5-4a9c-a735-522a8af345c9} web362 可以用以下已有的函数,去得到__builtins__,然后用eval就可以了:
模板注入SSTi笔记
jie_a的博客
04-14 318
模板注入SSTijinja2Smarty模板 jinja2 命令执行 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('在这里输命令').read()") }}{% endif %}{% endfor %} 文件读写 {% for c
ssti渗透笔记
qq_31436871的博客
01-20 731
博客搬运自我的个人博客 chantAria的博客 精力有限,新博客我会同步到CSDN,但博客内容的更新只会出现在个人博客 欢迎大家来玩耍哦! 搭建靶机环境 这里我用了vulhub集合. 国内一键安装脚本 curl -sSL https://get.daocloud.io/docker | sh 安装完成后用root应该可以直接使用,我将root添加进了docker用户组 启动docker sudo systemctl start docker 验证是否正确 sudo docker run hello-wor
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
SSTI
03-09
SSTI
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板。 模板引擎旨在通过将固定模板与易失性数据结合来生成网页。...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-ssti.md 第一的 4年前 java代码审计-xss.md 第一的 4年前 java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java...
扩展学习|风险管理的文献综述汇总(持续更新向)
weixin_63253486的博客
06-10 792
本片博客主要介绍风险管理领域本人所看到的一些有意思的文章,并就风险管理领域的相关内容进行一个分享。
Qt---pro文件的学习
weixin_51883798的博客
06-11 477
【代码】Qt---pro文件的学习
【电子信息工程专业课】学习记录
共同进步!
06-12 297
- # **数字信号处理** * ## 离散时间信号与系统 + ### 周期延拓 一个连续时间信号经过理想采样后,其频谱将沿着频率轴以采样频率Ωs = 2π / T 为间隔而重复。 + ### 混频 各周期的延拓分量产生频谱交替的现象 + ### 奈奎斯特采样定理 fs > 2fh
怎么学习汇川Codesys PLC教程?
NAV3055的博客
06-12 312
各位好,我在B站和抖音上都有发布视频的,搜索我的名称“阿凡工控分享”即可。在CSDN上发表文章也是想把我的一点见解和经验分享出来,进一步的方便大家进行学习
Nginx学习笔记(十)如何配置HTTPS协议?(公网)
ACGkaka的博客
06-10 720
Nginx学习笔记(十)如何配置HTTPS协议?(公网)
重生之 SpringBoot3 入门保姆级学习(19、场景整合 CentOS7 Docker 的安装)
最新发布
一名全栈小白的博客
06-14 421
重生之 SpringBoot3 入门保姆级学习(19、场景整合 CentOS7 Docker 的安装)
第100+11步 ChatGPT学习:R实现Logistic分类
qq_30452897的博客
06-13 422
第100+11步 ChatGPT学习:R实现Logistic分类
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C-haidragon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值