Python模板注入（SSTI）

概念

发生在使用模板引擎解析用户提供的输入时。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。

模板引擎可以让（网站）程序实现界面与数据分离，业务代码与逻辑代码分离。即也拓宽了攻击面，注入到模板中的代码可能会引发RCE或XSS

常见模板与场景

在python中，常见的模板引擎包括Jinja2、Django模板等。通常发生在未正确过滤或转义用户提供的输入时，使得攻击者能够在模板中插入恶意代码。

攻击者可利用模板注入漏洞执行任意的python代码，包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入特定的模板语法来触发漏洞，eg.在Jinja2中使用{{...}}或{%...%}

flask模板

先了解flask模板，有助于理解原理

  from flask import flask@app.route('/index/')def hello_word():return 'hello world'

route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问http:127.0.0.1：5000/index的时候，flask会返回hello world

渲染方法

flask的渲染方法有render_template和render_template_string两种。

1.render_template()

用来渲染一个指定文件，使用方法如下：

 return render_template('indexhtml')

2.render_template_string

用来渲染一个字符串，SSTI与这个密不可分，使用方法如下：

html='<h1>This is index page</h1>'return render_template_string(html)

模板

flask时使用Jinja2来作为渲染引擎的。

在网站的根目录下新建templates文件夹，这里是用来存放html文件。也就是模板文件。

模板文件并不是单纯的html代码，而是夹杂着模板的语法，因为页面不可能都是一个样子的，有一些地方是会变化的。比如说显示用户名的地方，这个时候就需要使用模板支持的语法，来传参。

{{}}在Jinja2中作为变量包裹标识符。

模板注入

不正确的使用flask中的render_template_string方法会引发SSTI。

（会用ctf题目解释，后续补充）

几种常用于SSTI的魔术方法

__class__ 返回类型所属的对象

__mro__ 返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。

__base__ 返回该对象所继承的基类

// __base__和__mro__都是用来寻找基类的

__subclasses__ 每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表

__init__ 类的初始化方法

__globals__ 对包含函数全局变量的字典的引用

__builtins__ builtins即是引用，Python程序一旦启动，它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入，它在任何模块都直接可见，所以可以直接调用引用的模块

获取基类的几种方法

    [].__class__.__base__''.__class__.__mro__[2]().__class__.__base__{}.__class__.__base__request.__class__.__mro__[8] 　　//针对jinjia2/flask为[9]适用或者[].__class__.__bases__[0]       //其他的类似