SSTI学习

首先是这广为人知的图片,就放在这里了,嗯,肥肠不错

0x01 从盘古开天辟地讲起…

Python 一切皆对象

首先,我们来梳理一下python里面错综复杂的关系
python object基类_Python 一切皆对象

object是最顶层基类,object是type的实例,而type又继承object,type是自身的实例。

type也是自身的实例化,object创造type,type创造一切和他自己,有点像道生一,一生三,三生万物…..type连自己都不放过,把自己都变成了自己的对象。type自己实例化自己。

object是父子关系的顶端,所有的数据类型的父类都是它;type是类型实例关系的顶端,所有对象都是它的实例的。

0x02 SSTI 原理

这是四大天王

1
2
3
4
5
6
7
{% ... %} for Statements

{{ ... }} for Expressions to print to the template output

{# ... #} for Comments not included in the template output

# ... ## for Line Statements
{%%}

主要用来声明变量,也可以用于条件语句和循环语句。

    {% set c= 'kawhi' %}
{% if 81==9*9 %}kawhi{% endif %}
{% for i in ['1','2','3'] %}kawhi{%endfor%}

{{}}

用于将表达式打印到模板输出,比如我们一般在里面输入2-1,2*2,或者是字符串,调用对象的方法,都会渲染出结果

    {{2-1}} #输出1
{{2*2}} #输出4

我们通常会用4简单测试页面是否存在SSTI

{##}

表示未包含在模板输出中的注释

    ##

有和{%%}相同的效果

这里的模板注入主要用到的是{{}}和{%%}

类的知识总结

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
__class__            类的一个内置属性,表示实例对象的类。
__base__ 类型对象的直接基类
__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__() 返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__ 初始化类,返回的类型是function
__globals__ 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__ 类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__() 实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__() 调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__ 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__ 动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__() 返回描写这个对象的字符串,可以理解成就是打印出来。
url_for flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app 应用上下文,一个全局变量。

request 可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1 get传参
request.values.x1 所有参数
request.cookies cookies参数
request.headers 请求头参数
request.form.x1 post传参 (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data post传参 (Content-Type:a/b)
request.json post传json (Content-Type: application/json)
config 当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g {{g}}得到<flask.g of 'flask_ssti'>

构造链思路:

找到父类<type ‘object’> —> 寻找子类 —> 找关于命令执行或者文件操作的模块。

  • 首先,需要一个类

  • 然后,需要获得object类,因为所有的类都是继承自它,可以用__base__,__mro__[-1]拿到

    ‘’.class.bases[0]
    <class ‘object’>

    ‘’.class.base
    <class ‘object’>

    ‘’.class.mro[1]
    <class ‘object’>
    ‘’.class.mro[-1]
    <class ‘object’>

  • 然后,需要用__subclasses__()拿到子类列表

  • 最后,在子类列表里面找到getshell的类

0x03 Bypass

过滤这部分,已经有文章整理的非常好了,俺就懒得搬运了,挂个链接

Flask-jinja2 SSTI 一般利用姿势

Refence

细说Jinja2之SSTI&bypass
Python魔法方法指南 - PyZh
Python:实例讲解Python中的魔法函数(高级语法)
Python type()函数:动态创建类
Python的MRO
SSTI模板注入总结

  

:D 一言句子获取中...