23、Web攻防——Python考点&CTF与CMS-SSTI模板注入&PYC反编译
一、PYC文件
pyc文件:python文件编译后生成的字节码文件(byte code),pyc文件经过python解释器最终会生成机器码运行。因此pyc文件是可以跨平台部署的,类似java的.class
文件,一般python文件改变后,都会重新生成pyc文件。
pyc文件反编译平台:
- https://tool.lu/pyc
实战中一般拿不到pyc文件,仅CTF。
二、SSTI
模板引擎:模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。
SSTI:服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。
凡是使用模板的地方都可能会出现 SSTI 的问题,SSTI 不属于任何一种语言,沙盒绕过也不是,沙盒绕过只是由于模板引擎发现了很大的安全漏洞,然后模板引擎设计出来的一种防护机制,不允许使用没有定义或者声明的模块,这适用于所有的模板引擎。
再次理解什么是SSTI?
以淘宝为例,随便访问一个不存在的路径,都会有一个报错页面,而且基本上都是一样的。这就是说明存在模板。
如果报错页面的url或者post数据中,有一个参数你是可以控制,且会显示在报错页面中,那么就有可能存在SSTI模板注入。
python中{{xxx}}
,xxx可能会被执行。
SSTI安全问题在生产环境中产生?
- 存在模板引用的地方,如404错误页面显示;
- 存在数据接收引用的地方,如模板解析获取参数数据。
如何判断存在SSTI漏洞?
- 查看源代码,是否使用框架包;
- 是否使用类似
flask.render.template.string()
函数 - 在可控参数中输入类似
/{{2-2}}
,看界面是否解析2-2.
发现SSTI漏洞之后,思路就是命令执行和文件读取。
黑盒里面基本上找不到SSTI模板注入。
参考资料:
https://blog.csdn.net/houyanhua1/article/details/85470175
BUUCTF
苹果CMS
ctfer 从0到1
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!