SSTI( 服务器模板注入)以及常见利用方式

最新推荐文章于 2025-07-19 09:00:00 发布
原创 最新推荐文章于 2025-07-19 09:00:00 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SSTI #服务器模板注入 #反弹shell

本文介绍了服务器侧模板注入(SSTI)的概念及其危害,通过实例展示了如何利用SSTI触发XSS攻击、造成拒绝服务及获取服务器权限。同时探讨了Jinja2模板引擎中的具体利用方法,并提出修复建议。

0x00 前言

简单介绍下,由于模板引擎支持使用静态模板文件,并在运行时用HTML页面中的实际值替换变量/占位符,从而让HTML页面的设计变得更容易。当前广为人知且广泛应用的模板引擎有Smarty、Twig、Jinja2、FreeMarker和Velocity。

简而言之,我们如果在开发过程中,如果选择使用的字符串格式化将URL动态添加到模板字符串中并返回到页面中,这时用户对模板是可控的。

0x01 漏洞演示

根据清风师傅在文章中所提到的,我们原版来分析下:

针对于模板可控,带入触发XSS

http://127.0.0.1:5000/<script>alert(/xss/)</script>

Jinjan2 基础语法

{% ... %}
​
{{ ... }}
​
{# ... #}

模版引擎成功解析

http://127.0.0.1:5000/aaa{{1+2}}

鸡肋拒绝服务攻击

request 是Flask模版的一个全局对象,其代表 “当前请求对象(flask.request)”,在request 对象中有一个environ对象名。
​
request.environ 对象是一个与服务器环境相关的对象字典,字典中一个名为 shutdown_server 的方法名分配的键为 werkzeug.server.shutdown 。
​
注射 {{ request.environ['werkzeug.server.shutdown']() }} 会造成拒绝服务。

获取配置项目信息

config 也是 Flask模版中的一个全局对象,它包含了所有应用程序的配置值。
​
{{ config.items() }}    // 查看配置项目的信息     
​
输入:http://127.0.0.1:5000/a{{ config.items() }}

更多详情链接:http://www.pythondoc.com/flask/config.html

config是一个类字典对象,它的子类包含很多方法:from_envvar, from_object, from_pyfile, root_path。

Flask/config.py
​
def from_object(self, obj): 

1. from_object  遍历新加模块中的所有大写的变量的属性并添加属性 
​
2. 并且这些添加到config对象的属性都会维持他们本来的类型
​
3. 验证:我们将 {{ config.items() }} 注入到存在SSTI漏洞的应用中,注意当前配置条目
​
4. 注入  {{ config.from_object('os') }}。这会向config对象添加os库中所有大写变量的属性
​
5. 再次查看  {{ config.items() }}     ;    os 模块中大写变量的属性成功添加属性cf

0x02 获取服务器shell

同步参考文章,这里面还是主要采用MSF的php马反弹shell(php有效载荷远程下载后,进行访问获取服务器shell权限)进行获取服务器权限

https://medium.com/@david.valles/gaining-shell-using-server-side-template-injection-ssti-81e29bb8e0f9

0x03 修复意见

针对于不同的模板引擎,该漏洞的修复方法会有所不同,但如果在传递给模板指令之前,对用户输入进行安全过滤的话,则可以大大减少这类威胁。此外,另一种防御方法是使用沙箱环境,将危险的指令删除/禁用,或者对系统环境进行安全加固。

0x04 参考连接

http://www.secbook.info/index.php/archives/51.html

https://xz.aliyun.com/t/2637

https://portswigger.net/blog/server-side-template-injection

https://nvisium.com/blog/2016/03/11/exploring-ssti-in-flask-jinja2-part-ii.html

转载请注明:Adminxe's Blog » SSTI( 服务器模板注入)以及常见利用方式

SSTI漏洞模板扫描(flask、Werkzeup)
墨痕诉清风的博客
08-07 739
代码】SSTI漏洞模板扫描。
SSTI利用脚本
qq_42529356的博客
02-14 563
import requests headers={'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:85.0) Gecko/20100101 Firefox/85.0'} def find_popen(url,payload): '发现popen在object中的位置' num=0 while True: try: payload1 = '{'+payload.form
python ssti正确利用方式
qq_49973474的博客
05-11 1184
很好 很有精神
学习ssti
n1ght的博客
11-23 586
ssti也叫做模板注入 当不正确的使用模板引擎进行渲染时,则会造成模板注入 比如render_template_string函数,当参数可控时,会造成模板注入 在Python的ssti中,大部分是依靠基类->子类->危险函数的方式利用ssti python沙箱逃逸总结 这是别人的文章 __class__ 返回对象所属的类 __bases__以元组的形式返回一个类所直接继承的类 __base__以字符串返回一个类所直接继承的类。 __mro__返回解析方法调用的顺序。 __su
初识SSTI
weixin_44770698的博客
02-21 751
初识SSTI
SSTI详解 一文了解SSTI和所有常见payload 以flask模板为例
闵行小鱼塘
10-13 6600
做的ctf题里有好几道跟SSTI有关,故对SSTI进行学习,在此做个小结与记录
【python中ssti模板注入
My笔记的博客
04-16 1285
类似于python 中的type方法。
CTF之服务器模板注入(SSTI)与赛题
最新发布
Neolock的博客
07-19 1050
服务端模板注入(SSTI)漏洞是由于开发人员将用户输入直接拼接到模板中执行导致的。以Flask框架的Jinja2模板为例,攻击者可通过{{}}语法注入恶意代码。利用魔术方法如__class__、__bases__等可进行沙箱逃逸,最终通过找到包含__builtins__的可利用类(如warnings.catch_warnings)执行系统命令。CTF案例展示了如何逐步利用这些方法获取环境变量中的flag。关键点包括:判断模板引擎类型、回溯类继承关系、绕过字符过滤、最终执行任意命令获取敏感信息。
服务器模板注入 SSTI (Server-side template injection)
angry_program的博客
08-05 3900
一、服务器模板注入 服务器模板注入(Server-side template injection)是当攻击者能够用本地的模板语法去注入一个恶意的payload,然后再服务器端执行该模板的攻击手法。 模板引擎是通过将固定模板与多变数据结合起来生成html网页的一种技术,当用户直接输入数据到模板不作任何过滤的时,可能会发生服务端模板注入攻击。这使得攻击者可以注入任何模板指令来操控服务器模板引擎,从而使整个服务器被控制。 顾名思义,服务器模板注入和SQL注入大同小异,但SSTI是发生在服务器端的,更加危险。
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 4144
web安全-SSTI模板注入漏洞
SSTI模板注入漏洞详解(包含ctfshow web入门361)
你们de4月天的博客
03-16 2535
服务端接收了攻击者的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了攻击者插入的可以破坏模板的语句,从而达到攻击者的目的。
SSTI漏洞相关知识及实战
2302_80044238的博客
03-16 1071
{{}}双大括号表示在许多模板引擎中用于包裹变量和表达式的语句的结构如图:双大括号中的7*7就被执行在进行实战之前需要了解到一个重要知识在模板引擎中的包含关系:引擎模板-->父类-->子类-->子类中引用的模板 -->引用的模板中的函数ssti漏洞主要是利用函数来进行操作。
服务器配置文档模板,服务器配置模板
weixin_33783273的博客
08-13 942
服务器配置模板 内容精选换一换资源包括静态语音,TTS放音以及短消息,在您进行流程编排前,需要先将涉及到的资源,包括语音、短信模板添加到系统中,才能继续配置流程。为了对源端服务器进行迁移可行性评估以及为后续目的端服务器的选择和配置提供必要性数据,迁移Agent会收集源端服务器的相关信息并上报到主机迁移服务。收集的Windows操作系统的具体数据如表1所示。收集的Linux操作系统的具体数据如表2所...
SSTI服务器模板注入原理&攻击手法&绕过手法&防御手段
qq_56815564的博客
07-31 1764
时间一晃,又是好久没有发过文章了,最近再准备面试了,当你真正去准备的时候你才会发现自己原来什么都还只是个半吊子,哎难顶正好看到一道面试题,说是说一下python有关的漏洞,这边因为对php的漏洞熟悉一点,所以这方面我发现我是真的什么都不知道,于是上网去找了很久,再学习的过程中顺便总结了这篇文章吧🙏。
SSTI模板注入小结
一醉一休的博客
04-19 737
SSTI漏洞的一次复现操作
ssti模板注入总结
weixin_44576725的博客
04-14 1733
模板注入总结 介绍 模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 原理 服务端模板注入常见Web注入的成因一样,也是**服务端接收了用户的输入,将未过滤的数据传给引擎解析,在进行目标编译渲染的过程中,执行了用户插入的恶意内容
SSTI漏洞基础解析
weixin_43895765的博客
04-01 5702
🚩flask基础 flask是python编写的一个WEB应用程序框架,flask由Armin Ronacher带领的一个Pocco团队开发,flask基于werkzeug WSGI工具包个jinjia2模板引擎~ WSGI:Web Server Gateway Interface 即WEB服务器网关接口 🚩第一个flask程序 # 从flask中导入Flask,注意,flask是包名,Flask是模块名 from flask import Flask # 初始化Flask app = Flask(
flask-ssti,xss的防止
weixin_30498921的博客
01-14 412
源码 import uuid from flask import Flask, request, make_response, session,render_template, url_for, redirect, render_template_string app=Flask(__name__) app.config['SECRET_KEY']=str(uuid.uuid4()) #fla...
SSTI模板注入漏洞基础
2301_80913334的博客
06-07 1399
良好的文档、丰富的插件、包含开发服务器和调试器、集成支持单元测试、RESTful请求调度、支持安全cookies、基于Unicode。
ssti模板注入
03-14
<think>好的,我现在需要处理用户关于SSTI服务器模板注入)漏洞的查询。用户想了解其原理及防御措施。首先,我要确保自己正确理解SSTI的基本概念。 根据引用[5],SSTI漏洞是因为服务端接收了用户的恶意输入后,未经处理就作为模板内容的一部分,导致模板引擎编译时执行了恶意代码。这点是关键,需要解释清楚。接下来,我需要说明原理,可能分步骤:用户输入被嵌入模板模板引擎处理时解析了恶意代码,导致攻击。例如,用户输入`{{7*7}}`如果返回49,说明存在漏洞。 然后,防御措施部分需要结合多个引用。引用[1]提到不要让用户控制模板内容,使用正规的渲染方法。引用[3]建议限制模板的访问权限,引用[2]提到输入验证、白名单过滤等。引用[5]提到不同语言的常见模板引擎,可能需要具体说明防御措施适用于这些引擎。 需要注意用户要求回答结构清晰,分点说明。可能先讲原理,再讲防御,每个部分用条目列出。同时,确保使用正确的中文术语,避免技术术语错误。 可能的问题点:是否遗漏了某些防御措施?比如引用[4]提到的靶场练习,虽然重要,但可能属于实践部分,不是直接的防御措施。需要确认是否需要包含。 另外,用户提供的引用中有重复的内容,需要整合。例如,输入验证、白名单、限制访问、使用安全模板方法等。需要将这些综合起来,分点说明。 最后,生成相关问题,需围绕SSTI漏洞,比如不同引擎的利用方式、检测方法、案例等。确保问题相关且有助于用户进一步学习。 总结步骤:1. 解释SSTI原理,2. 详细说明防御措施,3. 生成相关问题。需要引用正确的来源,并在回答末尾添加引用标识。</think>### SSTI服务器模板注入)漏洞原理及防御措施 #### **一、原理** 1. **漏洞成因** SSTI漏洞是由于服务端将用户的恶意输入直接嵌入模板中,未经处理即由模板引擎解析执行。例如,用户输入如`{{7*7}}`,若返回`49`则表明模板引擎执行了该表达式,漏洞存在[^5]。 $$ \text{恶意代码} \rightarrow \text{模板引擎解析} \rightarrow \text{执行危险操作} $$ 2. **攻击流程** - 攻击者通过参数、表单等提交包含模板语法的恶意输入(如`{{config}}`)。 - 服务端错误地将输入拼接到模板中,模板引擎将其视为合法代码编译执行。 - 攻击者可读取敏感数据(如数据库密码)、执行系统命令,甚至控制服务器[^2][^5]。 3. **影响范围** 漏洞危害程度取决于模板引擎的功能复杂度。例如: - **Python(Jinja2)**:可通过`{{''.__class__.__mro__}}`访问类方法。 - **PHP(Twig)**:可能利用`{{_self.env.registerUndefinedFilterCallback("exec")}}`执行命令。 --- #### **二、防御措施** 1. **输入过滤与验证** - 对用户输入进行**严格白名单过滤**,禁止包含模板语法字符(如`$`、`{{}}`)。 - 使用正则表达式检测危险符号,例如匹配`\{\{.*\}\}`并拦截[^2]。 2. **安全的模板渲染方法** - 避免直接拼接用户输入到模板,改用**上下文变量传递**。例如在Flask中: ```python return render_template("index.html", content=user_input) # 安全:变量通过上下文传递 ``` 而非`render_template_string(user_input)`[^1][^5]。 3. **最小化模板引擎权限** - 禁用模板引擎的危险功能,如Jinja2的`{% debug %}`或访问内置对象(如`__builtins__`)。 - 配置模板沙箱环境,限制文件读写和系统调用[^4]。 4. **访问控制与审计** - **限制模板文件修改权限**,仅允许管理员或可信用户操作[^3]。 - 定期进行**安全审计**,检查模板渲染逻辑是否存在注入风险。 5. **框架与组件更新** - 及时升级模板引擎版本,修复已知漏洞(如Jinja2旧版本的沙箱逃逸问题)。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值