23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译

一、PYC文件

pyc文件：python文件编译后生成的字节码文件（byte code），pyc文件经过python解释器最终会生成机器码运行。因此pyc文件是可以跨平台部署的，类似java的.class文件，一般python文件改变后，都会重新生成pyc文件。

pyc文件反编译平台：

• https://tool.lu/pyc

实战中一般拿不到pyc文件，仅CTF。

二、SSTI

SSTI漏洞资料

模板引擎：模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。

SSTI：服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。
凡是使用模板的地方都可能会出现 SSTI 的问题，SSTI 不属于任何一种语言，沙盒绕过也不是，沙盒绕过只是由于模板引擎发现了很大的安全漏洞，然后模板引擎设计出来的一种防护机制，不允许使用没有定义或者声明的模块，这适用于所有的模板引擎。

再次理解什么是SSTI？
以淘宝为例，随便访问一个不存在的路径，都会有一个报错页面，而且基本上都是一样的。这就是说明存在模板。

如果报错页面的url或者post数据中，有一个参数你是可以控制，且会显示在报错页面中，那么就有可能存在SSTI模板注入。
python中{{xxx}}，xxx可能会被执行。

SSTI安全问题在生产环境中产生？

• 存在模板引用的地方，如404错误页面显示；
• 存在数据接收引用的地方，如模板解析获取参数数据。

如何判断存在SSTI漏洞？

• 查看源代码，是否使用框架包；
• 是否使用类似flask.render.template.string()函数
• 在可控参数中输入类似/{{2-2}}，看界面是否解析2-2.
  

发现SSTI漏洞之后，思路就是命令执行和文件读取。
黑盒里面基本上找不到SSTI模板注入。

参考资料：
https://blog.csdn.net/houyanhua1/article/details/85470175
BUUCTF
苹果CMS
ctfer 从0到1