Flask SSTI | Python3

引言

  • 昨天原本是打算继续python的每日一练的,这次按日程一样是要练习用一个web框架写一个留言板的,于是打算用flask搞一下,但是正打算写的时候,突然想起来之前做的一些SSTI的例子,遂打算先把练习,放一放,来复现一下FlaskSSTI

复现历程

漏洞代码和测试

  • 这次复现参考了不少文章,因为我的环境用的是Python3的,但是现在大多网上有的一些教程都是Python2的,这就导致好多内置函数由于版本的原因用不了,或者被修改了,查阅了不少资料后,终于发现了一个可以用的方式(由于我没有任何限制和过滤,所以仅能测试学习使用),这次参考的一些原理的文章,在最后也会分享给大家┗|`O′|┛ 嗷~~
  • 首先是一个比较简单的存在漏洞的代码
# -*- coding:utf-8 -*-

# Author : Konmu

from flask import Flask,url_for,redirect,render_template,render_template_string,request

app = Flask(__name__)

@app.route('/index/',methods=['GET'])

def index():

    code = request.args.get('id')

    html = '''

        <h3>%s</h3>

    '''%(code)

    return(render_template_string(html))

@app.route('/')

def hello():

    return('Hello world!')
  • 这段代码存在漏洞的原因是数据和代码的混淆,代码中的code是用户可控的,会和html拼接后直接带入渲染。
  • 测试效果:

注入尝试

  • 到这里发现已经可以传入并执行一些相关的表达式了,接下来我们就可以尝试去进行更进一步的语句执行
  • 首先还是和往常SSTI一样去尝试找父类<type 'object'>–>寻找子类–>找关于命令执行或者文件操作的模块(相关文章有很多,这里就不列举了)。
  • 主要来说一下python3这次的一些改变

    1、Python2中的func_globals被重命名到__globals__

    2、__globals__中的linecache已经没有了(可能也被重命名到别处,但是这次找了半天都没能找到)
  • 此外对于子类的索引还是要以注入查询返回的那个索引为准,例如我在本地IDLE中查找的warning.catch_warnings索引是123,但是使用语句是却发现报错,看来一下报错信息才发现真正用的那个索引是169
  • 获取索引方式,我是用的比较笨拙,就是将那些复制下来,然后再在IDLE中查出他的索引

复现测试

  • 寻找子类

    ?id={{[].__class__.__base__.__subclasses__()}}

  • 由于看到好多文章都说到了,python在导入os模块时会和warning.catch_warnings相关,所以一般尝试找可以执行文件操作的模块时都可以尝试找这个(这次虽然没能找到'os',但是还是在这个模块中找到了另一个可以执行文件读取的函数),但是好像都没人讲一下文章出处和原理(ノへ ̄、)
  • 寻找warning.catch_warnings,寻找方式我上面提到了,这里就不再赘述了,我的找到的索引是169

  • 寻找可以进行文件读写的函数
  • 我这里最终是找的__builtins__,发现在他的属性中居然就直接有open函数,所以就尝试看能不能进行文件操作,最终发现成功
  • [].__class__.__base__.__subclasses__()[169].__init__.__globals__[%27__builtins__%27][%27open%27](%27/root/1.txt%27).read()

  • 这里顺带说一下,我在复现中自己发现的几个自己的知识盲区
  • object.keys()这个返回的是属性,而dir()这个返回的是内置函数
  • python导入模块时,import实际上是python虚拟机把当前的globals()locals()传进__builtins__.__import__内置函数了,所以实际上干活的是那个__import__函数!
  • 大致像这样:



  • jinja2的模板语句学习:https://jinja.palletsprojects.com/en/2.11.x/
  • 对于linecache一直没找到被改去哪了,后面看到相关文章会来补充
  • 关于os模块和warning.catch_warnings关系也还没找到调用的原理,后面打算再看一下官方文档看能不能找到

参考文章链接(官方文档相关大家就自行查找,这里就不贴出来了)

  • https://www.freebuf.com/articles/system/203208.html
  • https://www.freebuf.com/column/187845.html
  • https://www.cnblogs.com/tsingke/p/7291736.html
  • https://blog.csdn.net/zhtysw/article/details/83022789
  • https://www.cnblogs.com/cioi/p/12308518.html

总结

  • 经过这次自己的复现,对于Flask SSTI算是有了更深的了解,果然学习东西还是要自己去动手操作才能理解更多,这次复现还有一些问题没能解决,后面看到相关的文章,

    还会和大家继续分享的(๑•̀ㅂ•́)و✧

Flask SSTI | Python3 学习记录的更多相关文章

  1. [ZHUAN]Flask学习记录之Flask-SQLAlchemy

    From: http://www.cnblogs.com/agmcs/p/4445583.html 各种查询方式:http://www.360doc.com/content/12/0608/11/93 ...

  2. flask ssti python2和python3 注入总结和区别

    总结一下flask ssti的注入语句 代码 import uuid from flask import Flask, request, make_response, session,render_t ...

  3. [转]Python3之max key参数学习记录

    Python3之max key参数学习记录 转自https://www.cnblogs.com/zhangwei22/p/9892422.html 今天用Python写脚本,想要实现这样的功能:对于给 ...

  4. Python3学习笔记(urllib模块的使用)转http://www.cnblogs.com/Lands-ljk/p/5447127.html

    Python3学习笔记(urllib模块的使用)   1.基本方法 urllib.request.urlopen(url, data=None, [timeout, ]*, cafile=None,  ...

  5. 区块链Hyperledger Fabric 学习记录(一)开发环境搭建(ubuntu16.04/ubuntu18.04)

    目录 Fabric开发环境搭建 更新说明 教程环境及软件版本 Docker 安装Docker 配置用户组 配置Aliyun Docker加速器 安装docker-compose Go 下载源码 安装源 ...

  6. Python学习记录day7

    目录 Python学习记录day7 1. 面向过程 VS 面向对象 编程范式 2. 面向对象特性 3. 类的定义.构造函数和公有属性 4. 类的析构函数 5. 类的继承 6. 经典类vs新式类 7. ...

  7. 实验楼Python学习记录_挑战字符串操作

    自我学习记录 Python3 挑战实验 -- 字符串操作 目标 在/home/shiyanlou/Code创建一个 名为 FindDigits.py 的Python 脚本,请读取一串字符串并且把其中所 ...

  8. buu学习记录(上)

    前言:菜鸡误入buu,差点被打吐.不过学到了好多东西. 题目名称: (1)随便注 (2)高明的黑客 (3)CheckIn (4)Hack World (5)SSRF Me (6)piapiapia ( ...

  9. Flask SSTI利用方式的探索

    Flask SSTI利用方式的探索 一.SSTI简介&环境搭建 ​ 一个统一风格的站点,其大多数页面样式都是一致的,只是每个页面显示的内容各不相同.要是所有的逻辑都放在前端进行,无疑会影响响应 ...

随机推荐

  1. 在IIS服务器上本地部署 ArcGIS API for js 4.15

    作为一名刚入门的小白,还没开始一个helloworld就在软件安装,环境部署时遇到了一大堆问题,简直太让人头秃了,脑壳疼.话不多说,这篇主要想分享一下自己部署ArcGIS API for js 4.1 ...

  2. predixy源码学习--开篇

    最近开始研究predixy.predixy是一款高性能全功能redis代理 ,网上有的文章大部分都是功能上的介绍,很少有源码相关的分享. predixy的相关介绍在github: https://gi ...

  3. 【Layui__监听button】在form中监听按钮事件

    1. 前言 在使用form表单的按钮时,点击按钮总是页面刷新,代码如下 <button class="layui-btn" lay-submit lay-filter=&qu ...

  4. libevent(八)激活事件

    激活事件添加流程 事件发生后,需要把对应的event加入到激活事件队列中. 整个流程如下: 对于定时器事件,在timeout_process过程中,会将事件从最小堆中删除. 激活事件处理流程 在eve ...

  5. Eating Everything Efficiently(反向dp)

    传送门 取最大值即可.用拓扑,dfs都可以实现 #include <bits/stdc++.h> using namespace std; const int maxn=500009; i ...

  6. JAVA基础篇 之 方法的重载

    ​ 任何程序语言都具备了一项重要的特性就是对名字的运用.当创建一个对象时,也就给此对象分配到的存储空间取了一个名字.所谓方法则是给某个动作取的名字.通过使用名字你可以引用所有的对象和方法. ​ 将人类 ...

  7. Python学习之字符串中的下标和切片以及逆序

    python中的下标从0开始 从后往前取 注意:后面的2代表步长,先看2:-1取出来的数值 [起始位置:终止位置:步长] 逆序 但是发现如果[-1:0:-1]发现是取不到第一个元素的,那么怎么办? 此 ...

  8. 03_CSS入门和高级技巧(1)

    上节课知识的复习 插入图片,页面中能够插入的图片类型:jpg.jpeg.bmp.png.gif:不能的psd.fw. 语法: <img src="路径" alt=" ...

  9. 【HDU4990】递推式

    题目大意:给定序列 1, 2, 5, 10, 21, 42, 85, 170, 341 …… 求第n项 模 m的结果 递推式 f[i]  = f[i - 2] + 2 ^ (i - 1); 方法一:  ...

  10. python实现边缘提取

    1.  题目描述 安装opencv环境,实现边缘提取 2.  实现过程 1. 安装opencv+python环境 2. 打开图片 3. 将图片二值化 4. 提取边缘 5. 显示图片 3.  运行结果 ...