Flask SSTI | Python3

引言

  • 昨天原本是打算继续python的每日一练的,这次按日程一样是要练习用一个web框架写一个留言板的,于是打算用flask搞一下,但是正打算写的时候,突然想起来之前做的一些SSTI的例子,遂打算先把练习,放一放,来复现一下FlaskSSTI

复现历程

漏洞代码和测试

  • 这次复现参考了不少文章,因为我的环境用的是Python3的,但是现在大多网上有的一些教程都是Python2的,这就导致好多内置函数由于版本的原因用不了,或者被修改了,查阅了不少资料后,终于发现了一个可以用的方式(由于我没有任何限制和过滤,所以仅能测试学习使用),这次参考的一些原理的文章,在最后也会分享给大家┗|`O′|┛ 嗷~~
  • 首先是一个比较简单的存在漏洞的代码
# -*- coding:utf-8 -*-

# Author : Konmu

from flask import Flask,url_for,redirect,render_template,render_template_string,request

app = Flask(__name__)

@app.route('/index/',methods=['GET'])

def index():

    code = request.args.get('id')

    html = '''

        <h3>%s</h3>

    '''%(code)

    return(render_template_string(html))

@app.route('/')

def hello():

    return('Hello world!')
  • 这段代码存在漏洞的原因是数据和代码的混淆,代码中的code是用户可控的,会和html拼接后直接带入渲染。
  • 测试效果:

注入尝试

  • 到这里发现已经可以传入并执行一些相关的表达式了,接下来我们就可以尝试去进行更进一步的语句执行
  • 首先还是和往常SSTI一样去尝试找父类<type 'object'>–>寻找子类–>找关于命令执行或者文件操作的模块(相关文章有很多,这里就不列举了)。
  • 主要来说一下python3这次的一些改变

    1、Python2中的func_globals被重命名到__globals__

    2、__globals__中的linecache已经没有了(可能也被重命名到别处,但是这次找了半天都没能找到)
  • 此外对于子类的索引还是要以注入查询返回的那个索引为准,例如我在本地IDLE中查找的warning.catch_warnings索引是123,但是使用语句是却发现报错,看来一下报错信息才发现真正用的那个索引是169
  • 获取索引方式,我是用的比较笨拙,就是将那些复制下来,然后再在IDLE中查出他的索引

复现测试

  • 寻找子类

    ?id={{[].__class__.__base__.__subclasses__()}}

  • 由于看到好多文章都说到了,python在导入os模块时会和warning.catch_warnings相关,所以一般尝试找可以执行文件操作的模块时都可以尝试找这个(这次虽然没能找到'os',但是还是在这个模块中找到了另一个可以执行文件读取的函数),但是好像都没人讲一下文章出处和原理(ノへ ̄、)
  • 寻找warning.catch_warnings,寻找方式我上面提到了,这里就不再赘述了,我的找到的索引是169

  • 寻找可以进行文件读写的函数
  • 我这里最终是找的__builtins__,发现在他的属性中居然就直接有open函数,所以就尝试看能不能进行文件操作,最终发现成功
  • [].__class__.__base__.__subclasses__()[169].__init__.__globals__[%27__builtins__%27][%27open%27](%27/root/1.txt%27).read()

  • 这里顺带说一下,我在复现中自己发现的几个自己的知识盲区
  • object.keys()这个返回的是属性,而dir()这个返回的是内置函数
  • python导入模块时,import实际上是python虚拟机把当前的globals()locals()传进__builtins__.__import__内置函数了,所以实际上干活的是那个__import__函数!
  • 大致像这样:



  • jinja2的模板语句学习:https://jinja.palletsprojects.com/en/2.11.x/
  • 对于linecache一直没找到被改去哪了,后面看到相关文章会来补充
  • 关于os模块和warning.catch_warnings关系也还没找到调用的原理,后面打算再看一下官方文档看能不能找到

参考文章链接(官方文档相关大家就自行查找,这里就不贴出来了)

  • https://www.freebuf.com/articles/system/203208.html
  • https://www.freebuf.com/column/187845.html
  • https://www.cnblogs.com/tsingke/p/7291736.html
  • https://blog.csdn.net/zhtysw/article/details/83022789
  • https://www.cnblogs.com/cioi/p/12308518.html

总结

  • 经过这次自己的复现,对于Flask SSTI算是有了更深的了解,果然学习东西还是要自己去动手操作才能理解更多,这次复现还有一些问题没能解决,后面看到相关的文章,

    还会和大家继续分享的(๑•̀ㅂ•́)و✧

Flask SSTI | Python3 学习记录的更多相关文章

  1. [ZHUAN]Flask学习记录之Flask-SQLAlchemy

    From: http://www.cnblogs.com/agmcs/p/4445583.html 各种查询方式:http://www.360doc.com/content/12/0608/11/93 ...

  2. flask ssti python2和python3 注入总结和区别

    总结一下flask ssti的注入语句 代码 import uuid from flask import Flask, request, make_response, session,render_t ...

  3. [转]Python3之max key参数学习记录

    Python3之max key参数学习记录 转自https://www.cnblogs.com/zhangwei22/p/9892422.html 今天用Python写脚本,想要实现这样的功能:对于给 ...

  4. Python3学习笔记(urllib模块的使用)转http://www.cnblogs.com/Lands-ljk/p/5447127.html

    Python3学习笔记(urllib模块的使用)   1.基本方法 urllib.request.urlopen(url, data=None, [timeout, ]*, cafile=None,  ...

  5. 区块链Hyperledger Fabric 学习记录(一)开发环境搭建(ubuntu16.04/ubuntu18.04)

    目录 Fabric开发环境搭建 更新说明 教程环境及软件版本 Docker 安装Docker 配置用户组 配置Aliyun Docker加速器 安装docker-compose Go 下载源码 安装源 ...

  6. Python学习记录day7

    目录 Python学习记录day7 1. 面向过程 VS 面向对象 编程范式 2. 面向对象特性 3. 类的定义.构造函数和公有属性 4. 类的析构函数 5. 类的继承 6. 经典类vs新式类 7. ...

  7. 实验楼Python学习记录_挑战字符串操作

    自我学习记录 Python3 挑战实验 -- 字符串操作 目标 在/home/shiyanlou/Code创建一个 名为 FindDigits.py 的Python 脚本,请读取一串字符串并且把其中所 ...

  8. buu学习记录(上)

    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...

  9. Flask SSTI利用方式的探索

    Flask SSTI利用方式的探索 一.SSTI简介&环境搭建 ​ 一个统一风格的站点,其大多数页面样式都是一致的,只是每个页面显示的内容各不相同.要是所有的逻辑都放在前端进行,无疑会影响响应 ...

随机推荐

  1. Python的内存管理和垃圾回收

    内存管理 与Python对象创建相关的结构体 #define _PyObject_HEAD_EXTRA \ struct _object *_ob_next; \ struct _object *_o ...

  2. HTML 页面跳转的五种方法

    H方法TML 页面跳转的五种方法 下面列了五个例子来详细说明,这几个例子的主要功能是:在5秒后,自动跳转到同目录下的hello.html(根据自己需要自行修改)文件.1) html的实现 <he ...

  3. django最全面的知识点,直接开发完整手机购物商城练手,

    带手机验证码登陆, 带全套购物车系统 带数据库 前后端分离开发 带定位用户功能 数据库代码为本地制作好了 带支付宝支付系统 带django开发服务器接口教程 地址: https://www.duans ...

  4. 「newbee-mall新蜂商城开源啦」 前后端分离的 Vue 版本即将开源

    新蜂商城 Vue 版本 2019 年 10 月份我在 GitHub 开源仓库中上传了新蜂商城项目的所有源码,至今已经有小半年的时间了,感兴趣的可以去了解一下这个 Spring Boot 技术栈开发的商 ...

  5. 你知道Spring是怎么解析配置类的吗?

    彻底读懂Spring(二)你知道Spring是怎么解析配置类的吗? 推荐阅读: Spring官网阅读系列 彻底读懂Spring(一)读源码,我们可以从第一行读起 Spring执行流程图如下: 如果图片 ...

  6. RabbitMQ的发布订阅模式(Publish/Subscribe)

    一.发布/订阅(Publish/Subscribe)模式 发布订阅是我们经常会用到的一种模式,生产者生产消息后,所有订阅者都可以收到.RabbitMQ的发布/订阅模型图如下: 1.该模式下生产者并不是 ...

  7. 花店橱窗布置问题(FLOWER)

    目录 问题描述 问题分析 Java代码实现 运行结果 今天老师上完课说所有花都要被放,这个算法还是考虑多了,包含了这个选择,代码就不给了,用dp思想就可以解决了. 问题描述   假设你想以最美观的方式 ...

  8. python语法学习第十一天--模块

    容器----------->数据的封装 函数----------->语句的封装 类-------------->方法和属性的封装 模块----------->程序本身  导入: ...

  9. Spark SQL源码解析(四)Optimization和Physical Planning阶段解析

    Spark SQL原理解析前言: Spark SQL源码剖析(一)SQL解析框架Catalyst流程概述 Spark SQL源码解析(二)Antlr4解析Sql并生成树 Spark SQL源码解析(三 ...

  10. 一个小例子学习makefile

    前言 makefile推荐资料为陈皓的跟我一起写makefile,需要pdf资源的可以私我 正文 目录结构 ---include ------student.h ---src ------studen ...