web安全-SSTI模板注入漏洞

VIP文章 已于 2022-07-31 22:39:42 修改
阅读量3.4k 收藏 29
点赞数
文章标签: web安全
于 2022-07-31 22:19:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61956136/article/details/126076747
版权

一.初识SSTI

1.什么是SSTI注入?

SSTI模板注入(Server-Side Template Injection),通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的。

2.SSTI漏洞成因

​漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。

3. 利用条件

网站由数据与模板框架处理输出页面,我们的数据在数据库不会改变,但是画面的模板可以转换多样,当模板存在可控的参数变量或模板代码内有模板的调试功能,可能会导致SSTI模板注入,对大多数脚本类型均存在该注入。

二. 含注入风险的模板框架

1. python中的SSTI

python常见的模板有:Jinja2,tornado

Jinja2

python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{ {}}在Jinja2中作为变量包裹标识符,在渲染的时候将{ {}}包裹的内容作为变量解析替换,比如{ {1+1}}会被解析成2。

以一道ctf例题展示模板框架及利用方法:

攻防世界shrine wp

源码:

import flask
import os

app = flask.Flask(__name__)
#用当前模块的路径初始化app,__name__是系统变量即程序主模块或者包的名字,该变量指的是本py文件的文件名。

app.config['FLAG'] = os.environ.pop('FLAG')
#设置一个配置:app.config[‘FLAG’]就是当前app下一个变量名为’FLAG’的配置,
#它的值等于os.environ.pop(‘FLAG’)移除环境变量中的键名为’FLAG’的值。

#访问http://ip/,则执行index()函数打开当前文件,读取文件内容,返回文件源码
@app.route('/')
def index():
    return open(__file__).read()

#访问http://ip/shrine/,则调用flask.render_template_string函数
#返回渲染模板字符串safe_jinja(shrine)
@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')    #先去掉s字符串变量中的“(”和“)”左右括号
        blacklist = ['config', 'self']             #过滤掉config, self 关键字
        return ''.join(['{
  {% set {}=None%}}'.format(c) for c in blacklist])+s  
    return flask.render_template_string(safe_jinja(shrine))  #渲染模板

if __name__ == '__main__':
    app.run(debug=True)

shrine路径下,构造Python模板注入,发现存在模板注入

之后查看config、self配置:

过滤了括号和关键字,所以带括号的魔法函数都不能使用,可以利用其他Python内置函数

Python中常用于SSTI的魔术方法

__class__:返回类型所属的对象
__mro__:返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__:返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__:每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__:类的初始化方法
__globals__:对包含函数全局变量的字典的引用
__builtins__:builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以可以直接调用引用的模块。

app.config['FLAG'] = os.environ.pop('FLAG')

这道题中的目的是读取配置文件中变量名为’FLAG’的值,也就是环境变量中的键名为’FLAG’的值,但是config、self参数的值设为None,无法直接查看,可利用如下两种函数:

url_for()函数查看flag

用url_for函数来查看当前包中所有的静态文件,其中包括了配置文件。

先查看url_for函数的全局变量的字典的引用:

其中’current_app’: <Flask ‘app’>键值对,current_app意思是当前app,那么我们直接查看app.config[‘FLAG’]

get_flashed_messages()函数查看flag 

flash()用于闪现(可以理解为发送)一个消息。在模板中,使用 get_flashed_messages() 来获取消息(闪现信息只能取出一次,取出后闪现信息会被清空)。

flash()函数有三种形式缓存数据:
(1)缓存字符串内容。
设置闪现内容:flash(‘恭喜您登录成功’)
模板取出闪现内容:{% with messages = get_flashed_messages() %}
(2)缓存默认键值对。当闪现一个消息时,是可以提供一个分类的。未指定分类时默认的分类为 ‘message’ 。
设置闪现内容:flash(‘恭喜您登录成功’,“status”)
模板取出闪现内容:{% with messages = get_flashed_messages(with_categories=true) %}
(3)缓存自定义键值对。
设置闪现内容:flash(‘您的账户名为admin’,“username”)
模板取出闪现内容:{% with messages = get_flashed_messages(category_filter=[“username”])

所以我们可以通过get_flashed_messages()来获取所有缓存的闪现内容:

http://61.147.171.105:54585/shrine/{
  {get_flashed_messages.__globals__}}

最低0.47元/天 解锁文章
Pattie.
关注
  • 0
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SSTI漏洞基础解析
小王的储物间
02-14 504
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接到模板中而不是作为数据传递时,可能会发生服务器端模板注入攻击。 这使攻击者可以注入任意模板指令以操纵模板引擎,从而经常使攻击者能够完全控制服务器。 顾名思义,服务器端模板注入有效负载是在服务器端交付和评估的,这可能使它们比典型的客户端模板注入更加危险。 影响 : 服务器端模板注入漏洞可能使网站遭受各种攻击,具体取决于所讨论的模板引擎以及应用程序使用它的方式。 在某些罕见情况下,这些漏洞不会带来真正的安全风险。 但是,在大多数情况下,服务器端模板注入的影响可能是灾难性的。 在规模最大的一端,攻击者可以潜在地实现远程代码执行,完全控制后端服务器,并使用它对内部基础结构执行其他攻击。 即使
【网络安全 | 1.5w字总结】SSTI漏洞入门,这一篇就够了。
等风来
08-24 4781
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
【Java代码审计】SSTI模板注入
最新发布
大河之犬的博客
04-02 723
模板引擎支持使用静态模板文件,在运行时用 HTML 页面中的实际值替换变量/占位符,从而让 HTML 页面的设计变得更容易。当前广泛应用的模板引擎有 Smarty、Twig、Jinja2、FreeMarker 及 Velocity 等。若攻击者可以完全控制输入模板的指令,并且模板能够在服务器端被成功地进行解析,则会造成模板注入漏洞SSTI 漏洞的危害有:任意代码执行,获取 SHELL, 破坏服务器完整性等。
SSTI漏洞初手入门
kracer的博客
01-08 911
0x01 什么是SSTI SSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。 补充: 1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...
【网络安全】一文带你了解SSTI漏洞(Web_python_template_injection解题详析)
等风来
05-28 5009
以上为SSTI漏洞原理分析并结合攻防世界Web_python_template_injection实例进行解题详解,希望读者躬身实践。我是秋说,我们下次见。
SSTI模板注入
huangyongkang666的博客
03-21 9062
SSTI模板注入 1.SSTI简介 SSTI 就是服务器端模板注入(Server-Side Template Injection) ​ 当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。 ​ 漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将
超详细SSTI模板注入漏洞原理讲解
qq_61955196的博客
08-11 1511
本文指在让第一次接触SSTI注入漏洞的师傅们能更加详细的了解和明白该漏洞的原理
模板注入漏洞
y17861077326的博客
04-07 1226
SSTI(Server-Side TemplateInjection)服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的。此种类型漏洞虽然多次在CTF中,以Python语言为载体出现,但是这并不是Python模板引擎独有的漏洞。 值得注意的是: 凡是使用模板的地方都可能会出现SSTI的问题,SSTI不属于任何一种语言。 jinja2原理 以下内容,以Python的模板引擎Jinja2为例。 from flask import
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip
08-20
全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web4,SSTI+TensorFlow模型.zip 全国大学生信息安全竞赛决赛web...
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)....
gentlexue#POC-3#Apache OfBiz 服务器端模板注入(SSTI)1
07-25
Apache OfBiz 服务器端模板注入(SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入(SSTI)的影响,从而导致远程代码执行
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
适合小白学的基础知识—SSTI漏洞学习
Innocence_0的博客
02-12 456
适合小白学的基础知识—SSTI漏洞学习
SSTi模板注入漏洞
Aidang的博客
08-23 1601
1.SSTI含义 SSTI是一种注入类的漏洞,其成因也可以类比SQL注入。 SQL注入是从用户获得一个输入,然后用后端脚本语言进行数据库查询,利用输入来拼接我们想要的SQL语句。SSTI也是获取一个输入,然后在后端的渲染处理上进行语句的拼接执行。 但是和SQL注入不同的,SSTI利用的是现有的网站模板引擎,主要针对Python、PHP、JAVA的一些网站处理框架,比如Python的jinja2、mako、tornado、Django,PHP的smarty twig,java的jade velocity。当这
SSTI(模板注入) 解析 和 ctf 做法
m0_56107268的博客
11-18 2513
ssti注入
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值