23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译

文章目录

  • 一、PYC文件
  • 二、SSTI

23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译_第1张图片

一、PYC文件

pyc文件:python文件编译后生成的字节码文件(byte code),pyc文件经过python解释器最终会生成机器码运行。因此pyc文件是可以跨平台部署的,类似java的.class文件,一般python文件改变后,都会重新生成pyc文件。

pyc文件反编译平台:

  • https://tool.lu/pyc

实战中一般拿不到pyc文件,仅CTF。

二、SSTI

SSTI漏洞资料

23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译_第2张图片
模板引擎:模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。

SSTI:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。
凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模板引擎。

再次理解什么是SSTI?
以淘宝为例,随便访问一个不存在的路径,都会有一个报错页面,而且基本上都是一样的。这就是说明存在模板。
23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译_第3张图片

如果报错页面的url或者post数据中,有一个参数你是可以控制,且会显示在报错页面中,那么就有可能存在SSTI模板注入。
python中{{xxx}},xxx可能会被执行。

SSTI安全问题在生产环境中产生?

  • 存在模板引用的地方,如404错误页面显示;
  • 存在数据接收引用的地方,如模板解析获取参数数据。

如何判断存在SSTI漏洞?

  • 查看源代码,是否使用框架包;
  • 是否使用类似flask.render.template.string()函数
  • 在可控参数中输入类似/{{2-2}},看界面是否解析2-2.
    23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译_第4张图片

发现SSTI漏洞之后,思路就是命令执行和文件读取。
黑盒里面基本上找不到SSTI模板注入。

参考资料:
https://blog.csdn.net/houyanhua1/article/details/85470175
BUUCTF
苹果CMS
ctfer 从0到1

你可能感兴趣的:(小迪安全,前端,python,开发语言)