CTF SSTI模板注入详解

最新推荐文章于 2025-04-27 12:15:24 发布

cosmos_web

最新推荐文章于 2025-04-27 12:15:24 发布

阅读量5.8k

点赞数 3

CC 4.0 BY-SA版权

文章标签： web安全 web 网络安全信息安全 python

本文链接：https://blog.youkuaiyun.com/weixin_47696216/article/details/123875841

我们用一题“百度杯”CTF比赛来实战解题：

这边临时靶场的URL是：eci-2ze8l1o1z33xpyy7xj4o.cloudeci1.ichunqiu.com/

首先bp暴力破解先找到一个传参，一般都是一些简单的id，name等等，这里是name

尝试name={ {5-4}}，发现返回1，可以确认是python，模板注入

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

cosmos_web

关注关注

3
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析

等风来

05-28

7537

2.命令执行注入：攻击者在应用程序中的命令执行语句中注入模板代码，从而执行任意系统命令，获取系统权限，对系统进行攻击等。3.变量渲染注入：攻击者在应用程序中的变量渲染语句中注入模板代码，从而影响页面的输出，导致代码执行或信息泄漏等问题。在 Python 3 中，当对一个未导入的模块（如 os 模块）执行 eval() 函数时，linecache 模块会发出一个警告，可利用这个警告来读取敏感信息。1.条件语句注入：攻击者在应用程序中的条件语句中注入模板代码，从而控制条件判断的分支，导致程序的逻辑错误。

服务器端模板注入 (SSTI) 漏洞实战与技巧，网络高级工具透明代理的几种实现方式

代码讲故事

12-08

1256

服务器端模板注入 (SSTI) 漏洞实战与技巧，网络高级工具透明代理的几种实现方式。 SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。比如python的flask、php的thinkphp、java的spring等框架一般都采用MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

参与评论您还未登录，请先登录后发表或查看评论

CTF笔记 SSTI模板注入

qq_51248658的博客

10-21

1096

这次只是简单的把以前写的题目进行了总结，大致明白了解题步骤，但还是得多积累一些payload，以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习，感觉那上面挺全的。

CTF-SSTI模板注入

2302_78903258的博客

07-22

2092

当前使用的一些框架，比如python的flask，php的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

【CTF】 SSTI模板注入漏洞

ZhangAweio的博客

05-29

948

SSTI 就是服务器端模板注入，当前使用的一些框架，比如python的flaskphp的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

SSTI(模板注入) 解析和 ctf 做法

m0_56107268的博客

11-18

3619

ssti注入

CTF模板注入

weixin_43952190的博客

07-30

4331

模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render（渲染） /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数：filename&filehash 根据提示，要查看flag，已经知道了文件名，filehash也知道了构

关于flask的SSTI注入

Kr的博客

01-21

7394

ssti注入又称服务器端模板注入攻击(Server-Side Template Injection)，和sql注入一样，也是由于接受用户输入而造成的安全问题。它的实质就是服务器端接受了用户的输入，没有经过过滤或者说过滤不严谨，将用户输入作为web应用模板的一部分，但是在进行编译渲染的过程中，执行了用户输入的恶意代码，造成信息泄露，代码执行，getshell等问题。这个问题主要是出在web应...

网络安全入门过程教程：服务器端模板注入 (SSTI)

wuli1024的博客

12-12

1798

每个应用程序都会有动态的部分，“动态的部分” 是经过服务器传输展示的。例如：微信卡片左边固定展示：昵称、性别、微信号、地区。而右边是你的个人信息。左边是固定的，右边是动态的（你可以任意更改）。服务器模板就是提供一种快捷美观的方法来写代码展示出来。好比的说，以PHP语言为例，如果我们不使用服务器模板来展示以上内容，那么代码是这样的：是不是一点都不美观？接下来使用服务器模板服务器模板来展示：对比可以看出来，使用了服务器模板看起来会美观一些。以生活中的例子来说，服务器模板就同简历模板类似，模板提供了格式，你

SSTI模板注入+CTF实例

hyq99999的博客

10-11

2117

ssti注入基础知识

CTF_Web：从0学习Flask模板注入（SSTI）

AFCC_的博客（Web_Dog）

08-30

6375

0x01 前言最近在刷题的过程中发现服务端模板注入的题目也比较常见，这类注入题目都比较类似，区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样，本文将以Flask为例学习模板注入的相关知识，也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架，让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单，代码量少，很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架，通常用于编写大型的网站。

CTF-web-ssti模板注入漏洞

Ye的博客

04-14

1353

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。SSTI 漏洞是一种常见的 Web 安全漏洞，它允许攻击者在服务器端模板引擎中注入恶意代码，导致服务器执行攻击者控制的代码，可能导致信息泄露、服务器被接管等安全问题。，那么页面上就会显示。

CTF之路：关于Flask模板注入

zw05011的博客

01-07

6100

题目题目叫Simple SSTI 打开网页，显示You need pass in a parameter named flag. SSTI，即服务器端模板注入。

一天一道ctf 第23天（模板注入）

scrawman的博客

04-12

313

[BJDCTF2020]The mystery of ip 点击Flag会返回本机的IP地址，抓包看一下

CTF 中的 ssti

最新发布

yqya_的博客

04-27

967

ctf 中对于 ssti 的考察

CTF-web xman-2018 第八天 web 模板注入序列化执行

iamsongyu的博客

01-05

3833

python代码审计 php包容性更大的语言，针对web，简单一些所以大家用这个 python出现后，更加的中性一些，有更多的库，以其为技术基础的东西也很多，比如flask模板等。企业中java多，但是不适合初学者，调用栈特别多，反序列化，表达式执行。对于没遇到过的题目，要会收集信息，百度不行还是用谷歌。学会用英文搜索，而且新很多，谷歌的高级技巧(定向搜索，源码搜...

Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解全

Jay17的博客

08-10

2012

Ctfshow web入门 SSTI 模板注入篇 web361-web372 详细题解全

SSTI模板注入

阿刁〇的博客

08-23

621

SSTI模板注入一些比较好的文章： https://www.cnblogs.com/20175211lyz/p/11425368.html https://bbs.ichunqiu.com/thread-47685-1-1.html?from=aqzx8 什么是SSTI SSTI就是服务器端模板注入（Server-Side Template Injection），也给出了一个注入的概念。常见的注入有：SQL 注入，XSS 注入，XPATH 注入，XML 注入，代码注入，命令注入等等。sql注入已经出

php的smarty模板注入的ctf例题

03-10

<think>嗯，用户想找关于PHP Smarty模板注入的CTF例题。我需要先回忆一下Smarty模板引擎的相关知识，以及常见的注入漏洞。Smarty在PHP中广泛使用，它的模板语法可能在某些版本中存在安全问题，尤其是在未正确过滤用户输入的情况下。首先，我应该回顾一下Smarty的模板标签，比如{...}，以及如何通过用户输入执行任意代码。例如，如果开发者直接将用户输入拼接到模板中，而没有进行适当的转义或过滤，攻击者可能插入恶意Smarty标签，导致服务器端模板注入（SSTI）。接下来，我需要查找相关的CTF例题或漏洞示例。记得之前有个例子是利用{$smarty.version}来获取Smarty版本，这可能帮助攻击者选择合适的利用方式。另外，Smarty允许使用{system('命令')}来执行系统命令，如果模板引擎配置不当，这可能导致远程代码执行。还要考虑PHP中变量名的转换规则，比如引用[1]提到的，PHP会将传入变量名中的某些字符转换为下划线，但如果有[符号提前出现，后面的点就不会被转换。这可能影响参数传递的方式，比如构造特定的参数名绕过过滤。然后，参考其他模板注入的例子，比如Flask的SSTI漏洞（引用2和3），用户输入被直接嵌入模板导致漏洞。类似地，Smarty的注入可能也需要将用户输入作为模板的一部分处理，从而触发恶意代码。另外，可能需要结合PHP的其他特性，比如反序列化漏洞（引用4中的例子），但用户的问题主要集中在Smarty模板注入，所以应聚焦于此。最后，要确保提供的例题和Payload符合实际CTF中的情况，比如使用{system('cat /flag')}来读取flag文件，或者通过{php}标签（如果启用的话）执行PHP代码。需要注意的是，Smarty的安全配置可能禁用某些危险函数，因此需要根据版本和配置调整Payload。总结步骤：解释Smarty模板注入的原理，给出一个CTF例题的示例代码，展示如何构造Payload利用漏洞，并提供相关问题供进一步学习。同时引用相关的参考资料，特别是关于PHP参数处理和SSTI的部分。</think>### PHP Smarty模板注入CTF例题解析 #### 示例CTF题目场景假设存在以下PHP代码（基于Smarty模板引擎）： ```php <?php require_once('smarty/libs/Smarty.class.php'); $smarty = new Smarty(); $name = $_GET['name']; $smarty->assign('name', $name); $smarty->display('template.tpl'); ?> ``` 其中`template.tpl`内容为： ```smarty Hello, {$name}! ``` #### 漏洞原理 1. **未过滤的用户输入**：`$name`直接通过`$_GET['name']`获取并传入模板，攻击者可构造包含Smarty标签的Payload。 2. **Smarty标签执行**：Smarty默认允许执行模板中的表达式，例如通过`{system('id')}`执行系统命令[^1]。 #### 利用Payload示例 1. **读取系统信息** ```http GET /vuln.php?name={$smarty.version} HTTP/1.1 ``` 响应中会返回Smarty版本，例如`3.1.36`。 2. **执行系统命令** ```http GET /vuln.php?name={system('cat /flag')} HTTP/1.1 ``` 若服务器配置允许，会输出flag文件内容[^2]。 3. **利用PHP函数**（需Smarty启用`{php}`标签） ```http GET /vuln.php?name={php}echo shell_exec('ls');{/php} HTTP/1.1 ``` 返回当前目录文件列表（仅适用于旧版本Smarty或未禁用`{php}`标签的情况）[^3]。 --- #### 防御建议 1. 过滤用户输入中的特殊符号（如`{`、`$`）。 2. 禁用Smarty危险函数： ```php $smarty->disableSecurity(); ``` 3. 更新Smarty至最新版本。 ---