这是一个ssit漏洞注入基础题
ssit介绍:SSTI 就是服务器端模板注入( Server-Side Template Injection )
当前使用的一些框架,比如 python 的 flask , php 的 tp , java 的 spring 等一般都采用成熟的
的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对
应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲
染展示给用户。
漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容
的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因
而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复
杂性。
凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒逃逸也不是,
沙盒逃逸只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不
允许使用没有定义或者声明的模块,这适用于所有的模板引擎。
开始注入:
这是jinja2模板
这里使用到了__class__、base、subclasses()三种魔术方法,用处大概就是获取类,获取基类,获取所有类
后面便是寻找我们要利用的函数,寻找那些有回显的或者可以执行命令的类
大多数利用的是 os._wrap_close 这个类
我第一次还是纯手工找的(╯°□°)╯︵ ┻━┻
利用脚本寻找:
with open(r".\test.txt", "r") as input_file:ssti_class = input_file.read().split(",")print("ssti_class 内容:", ssti_class)
target = "os._wrap_close"
index = -1
for i in range(len(ssti_class)):if target in ssti_class[i].strip():index = ibreak
if index != -1:print(f"目标值 '{target}' 的下标为 {index}, 对应值是: {ssti_class[index].strip()}")
else:print(f"未找到目标值 '{target}'")
找到下标
进行rce
其中用到魔术方法:
init 方法进行初始化类
globals 获取到方法内以字典的形式返回的方法、属性等
获得flag
这题展现了ssit最最基础的注入形式
