SSTI模版注入

最新推荐文章于 2023-12-08 09:54:32 发布
最新推荐文章于 2023-12-08 09:54:32 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: 网络安全 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45766049/article/details/117487209
版权

SSTI模版注入

文章目录

1 SSTI服务器端模板注入

SSTI服务器端模板注入(Server-Side Template Injection),同SQL注入、XSS注入等,都是从用户获取一个输入,由于代码不规范或信任了用户输入,后端的渲染处理上进行了语句的拼接,而导致了服务端模板注入。

SSTI利用的是网站模板引擎,主要针对python、php、java的一些网站处理框架,比如Python的jinja2、mako、tornado、django,php的smarty twig,java的jade、velocity,当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。

现在网上提起的比较多的是Python的网站。

2 模板引擎

模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。

模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这就大大提升了开发效率,良好的设计也使得代码重用变得更加容易。

模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。但是往往新的开发都会导致一些安全问题,虽然模板引擎会提供沙箱机制,但同样存在沙箱逃逸技术来绕过。

拿到数据,塞到模板里,然后让渲染引擎将赛进去的东西生成 html 的文本,返回给浏览器,这样做的好处展示数据快,大大提升效率。

后端渲染:浏览器会直接接收到经过服务器计算之后的呈现给用户的最终的HTML字符串,计算就是服务器后端经过解析服务器端的模板来完成的,后端渲染的好处是对前端浏览器的压力较小,主要任务在服务器端就已经完成。

前端渲染:前端渲染相反,是浏览器从服务器得到信息,可能是json等数据包封装的数据,也可能是html代码,他都是由浏览器前端来解析渲染成html的人们可视化的代码而呈现在用户面前,好处是对于服务器后端压力较小,主要渲染在用户的客户端完成。

3 举例

这里举个简单的例子来简析模板渲染。

前端代码:

<html>
	<div>{{name}}</div>
</html>

我们想要在<div>标签里呈现不同的信息,或者说是用户输入的信息,但是{{name}}我们不知道用户输入的是什么,就用一些url或者cookie包含的信息,渲染到what变量里,呈现给用户的为:

<html>
	<div>张三</div>
</html>

3.1 以python的flask为例

python后端代码:

from flask import Flask
from flask import render_template
from flask import request
from flask import render_template_string

app = Flask(__name__)
@app.route('/')
@app.route('/index')#我们访问/或者/index都会跳转
def index():
   user = {'name': '小猪佩奇'}#传入一个字典数组
   return render_template("index.html",user=user)

if __name__ == '__main__':
    app.debug = True
    app.run()

前端界面:

<html>
 <body>
      <h1>Hello, {{user.name}}!</h1>
  </body>
</html>

显示的是,Hello, 小猪佩奇!

4 绕过tips

4.1 过滤[]等括号

使用gititem绕过。如原poc

{{"".class.bases[0]}}

绕过后

{{"".class.bases.getitem(0)}}

4.2 过滤了subclasses

拼凑法

原poc

{{"".class.bases[0].subclasses()}}

绕过

 {{"".class.bases[0]['subcla'+'sses']}}

4.3 过滤class

使用session

原poc

{{session['cla'+'ss'].bases[0].bases[0].bases[0].bases[0].subclasses()[118]}}

多个bases[0]是因为一直在向上找object类。使用mro就会很方便

{{session['__cla'+'ss__'].__mro__[12]}}

或者

{{request['__cl'+'ass__'].__mro__[12]}}

5 总结

实战中几乎不会出现ssti模板注入,或者说很少,大多出现在python 的ctf中。

每一个模板引擎都有着自己的语法,Payload 的构造需要针对各类模板引擎制定其不同的扫描规则,就如同 SQL 注入中有着不同的数据库类型一样。更改请求参数使之承载含有模板引擎语法的 Payload,通过页面渲染返回的内容检测承载的 Payload 是否有得到编译解析,不同的引擎不同的解析。所以我们在挖掘之前有必要对网站的web框架进行检查,否则很多时候{{}}并没有用,导致错误判断。

接下来附张图,实战中要测试重点是看一些url的可控,比如url输入什么就输出什么。

在这里插入图片描述

参考文章:

https://xz.aliyun.com/t/3679#toc-11

https://blog.csdn.net/zz_Caleb/article/details/96480967

想当探险家的提莫
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 模板引擎的注入问题分析
01-20
这几年比较火的一个漏洞就是jinjia2之类的模板引擎的注入,通过注入模板引擎的一些特定的指令格式,比如 {{1+1}} 而返回了 2 得知漏洞存在。实际类似的问题在Python原生字符串中就存在,尤其是Python 3.6新增 f 字符串后,虽然利用还不明确,但是应该引起注意。 最原始的 % userdata = {user : jdoe, password : secret } passwd = raw_input(Password: ) if passwd != userdata[password]: print (Password + passwd
【Java代码审计】SSTI模板注入
最新发布
大河之犬的博客
04-02 703
模板引擎支持使用静态模板文件,在运行时用 HTML 页面中的实际值替换变量/占位符,从而让 HTML 页面的设计变得更容易。当前广泛应用的模板引擎有 Smarty、Twig、Jinja2、FreeMarker 及 Velocity 等。若攻击者可以完全控制输入模板的指令,并且模板能够在服务器端被成功地进行解析,则会造成模板注入漏洞SSTI 漏洞的危害有:任意代码执行,获取 SHELL, 破坏服务器完整性等。
WEB攻防-Java安全&SPEL表达式&SSTI模版注入&XXE&JDBC&MyBatis注入
siu~
12-08 645
#知识点: 1、Java安全-SQL注入-JDBC&MyBatis 2、Java安全-XXE注入-Reader&Builder 3、Java安全-SSTI模版-Thymeleaf&URL 4、Java安全-SPEL表达式-SpringBoot框架
详解SSTI模板注入
LYJ20010728的博客
09-09 3714
详解SSTI模板注入SSTI简介常见的模板引擎PHPJAVAPYTHONRUBYGOLANGSSTI产生的原因常用检测工具 TplmapFlask/Jinja模板引擎的相关绕过Flask简介demo漏洞代码基础知识沙盒逃逸Python的内建函数名称空间类继承寻找Python-SSTI攻击载荷的过程攻击载荷过程常用的目标函数常见的中间对象fuzz可利用类脚本服务端fuzzPython常用的命令执行方式Python-Web框架配置文件TornadoflaksFlask过滤器定义使用方式用的过滤器模块查找脚本常见
SSTI模板注入
huangyongkang666的博客
03-21 8988
SSTI模板注入 1.SSTI简介 SSTI 就是服务器端模板注入(Server-Side Template Injection) ​ 当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。 ​ 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将
SSTI
03-09
SSTI
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
flaskssti:测试SSTI
02-21
烧瓶
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3465
web安全-SSTI模板注入漏洞
SSTI模板注入漏洞详解(包含ctfshow web入门361)
T1ngSh0w的博客
03-16 1138
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
深入浅出带你了解SSTI模板注入
Galaxy_0的博客
02-12 395
深入浅出带你了解SSTI模板注入
【CTF】 SSTI模板注入漏洞
ZhangAweio的博客
05-29 662
SSTI 就是服务器端模板注入,当前使用的一些框架,比如python的flaskphp的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
服务端模板注入SSTI)上
why811的博客
07-18 622
在handleCache内,首先判断有没有开启options.cache此值默认为空,所以没有进去if区间,然后在elseif处判断了hasTemplate的值是否为空,此值的定义是从arguments.length得到的,所以此值不为空,也没有进入到elseif区间内,然后就到了exports.compile处,这里在调用compile方法时把模板传入,继续跟踪此方法。内建函数很像子变量(也像Java中的方法),它们并不是数据模型中的东西,是Freemarker在数值上添加的。
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值