ssti 前置学习
python venv环境
可以把它想象成一个容器,该容器供你用来存放你的Python脚本以及安装各种Python第三方模块,容器里的环境和本机是完全分开的
创建venv环境安装flask
#apt install python3.10-venv
#cd /opt
#python3 -m venv flask1
#cd /opt 选择路径
#python3 -m venv flask1 创建名为flask1的venv环境
#Is
#cd falsk1 多一个文件夹flask1
#ls 包含所有python组件
#vim demo.py 
#vim demo.py
print("this is test") 在/opt下创建demo.py
#python3 demo.py 直接使用python是系统的组件
执行flask1路径下的python
方法一
#/opt/flask1/bin/python3 demo.py绝对路径
方法二
#cd flask1 进入flask1虚拟环境
#source ./bin/activate
##python3 demo.py
#deactivate 退出虚拟环境
安装flask
pip3 install flask --root-user-action=ignore mediapipe -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
#python3
>>>import flask
>>>quit()
python flask
Flask是一个使用 Python 编写的轻量级 Web 应用框架
其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。Flask使用 BSD 授权。
Flask的特点: 良好的文档、丰富的插件、包含开发服务器和调试器 (debugger) 、集成支持单元测试、RESTful请求调度、支持安全cookies、基于Unicode。
Python可直接用flask启动一个web服务页面。
进入虚拟环境flask1
#/opt
#vim demo.py 在/opt路径下编辑demo.py
from flask import Flask 启动flask模块,创建一个Flask类
app = Flask(__name__) name 是系统变量,指的是本py文件的文件名
@app.route('/')路由
def hello():
return "hello benben"
if __name_=='__main__'
app.run() 只能被python直接运行而不能被作为组件或模块被调用。
监听所有物理端口
添加端口为80
ssti漏洞成因
渲染模板时,没有严格控制对用户的输入;
使用了危险的模板,导致用户可以和flask程序进行交互,可能造成任意文件读取和RCE远程控制后台系统
演示
这段代码最大的漏洞,就是通过 format() 方法直接对页面的 {0} 参数进行替换,这将造成当用户对参数 id 按照 flask 框架的语法进行赋值时,模板引擎渲染时将会把用户输入当作 python 代码进行执行(但并不能直接执行 python 代码)
from importlib.resources import contents
import time
from flask import Flask,request,render_template_string
app = Flask(__name__)
@app.route('/',methods =['GET'])
def index():
str = request.args.get('ben') //str值通过format0)函数填充到body中间
html_str ='''
{0} //0里可以定义任何参数
'''.format(str)
return render_template_string(html_str) //return render template string会把内的字符串当成代码指令
if __name__== '__main__':
app.debug = True
app.run('127.0.0.1','8080')
__name__ 是python的内置属性,是系统全局变量!每一个py文件都有一个属于自己的__name__:
如果py文件作为模块被导入(import),那么__name__就是该py文件的文件名(也称 模块名);
如果py文件直接运行时(Ctrl+Shift+F10),那么__name__默认等于字符串”__main__”;
举个简单的例子:假如你名字是张三,在朋友眼中,你是张三(__name__ == '张三');在你自己眼中,你是你自己(__name__ == '__main__')
{{7*7}}可用来检测漏洞
模板分析
python继承关系和魔术方法
几种魔术方法
在 python 中,魔术方法是一种两边以双下划线 __ 包裹的特殊方法,利用这些方法,我们可以实现类的寻找,初始化对象的成员,以及最后的利用。
__class__# 查找当前类型的所属对象
__base__# 沿着父子类的关系往上走,用来查看类的基类,注意是类的基类,所以格式为变量.__class__.__bases__,同时也能加上数组,比如变量.__class__.__bases__[0]来获得第一个基类。
__mro__ # 查找当前类对象的所有继承类,显示类和基类
__subclasse__()# 查找父类下的所有子类,格式变量.__class__.__bases__[0].__subclasses__()
这个类也可以加数组来查看指定的索引值,例如变量.__class__.__bases__[0].__subclasses__()[1]
__init__ : 构造函数,当类被实例化时可以用它来快捷的初始化一些属性。SSTI 中可以用它获取选定子类的初始化方法。
__globals__ #函数会议字典的形式返回当前对象的全部全局变量。当其在 __init__ 后使用时,即获取初始化方法的全局变量字典。这些变量可能是模块、方法、变量。
__builtins__ #提供对Python的所有"内置"标识符的直接访问
eval()计算字符串表达式的值
popen()执行一个 shell 以运行命令来开启一个进程通过以上魔术方法,再配合一些系统命令,就可以构造出基本的 payload 了
举个栗子
name={{''.__class__.__mro__[-1].__subclasses__()[199].__init__.__globals__['os'].popen("ls -l /opt").read()}}
payload 前的 '' 表示一个空字符串,类似的,还可以使用:"" 字符串 () 元组 [] 列表 {} 字典。它们都是数据类型的实例对象。
继承关系
在 python 中,类之间是会有继承关系的,也就是派生类(子类)与基类(父类)的关系,这可以理解为父子关系。在这个父子关系中的最高级,就是 object 。也就是说,object 是祖宗类。
一般来说,SSTI 构造 payload 的思想,就是要通过各个数据类型 Numbers(数字)String(字符串)List(列表)Tuple(元组)Dictionary(字典) 这些子类,一直往上找到 object ,然后再通过找 object 类可以利用的子类。可以利用的子类,就是这个子类的方法(popen() eval()等方法)或属性可以利用。
子类调用父类下的其他子类
Python flask脚本没有办法直接执行python指令
class A:pass
class B(A):pass
class C(B):pass
class D(B):pass
c=C()
print(c.__class__)当前类C
当前类C的父类B
print(c.__class__.__base__)
父类的父类
print(c.__class__.__base__.__base__)
层层递进
print(c.__class__.__base__.__base__.__base__)
罗列所有父类关系
C-B-A-object
print(c.__class__.__mro__)
B下的所有子类(数组形式)
print(c.__class__.__base__.__subclasses__()) 
调用子类D
print(c.__class__.__base__.__subclasses__()[1])