SimpleTemplate模板引擎SSTI注入与内存马攻击技术研究

SimpleTemplate模板引擎SSTI注入与内存马攻击技术研究 1. SimpleTemplate模板引擎简介 Bottle框架自带了一个快速、强大且易用的模板引擎，名为SimpleTemplate（简称stpl）。它是 view() 和 template() 两个函数默认调用的模板引擎，SimpleTemplate类继承了BaseTemplate类。 2. Bottle框架SSTI注入漏洞 2.1 框架识别方法 在检测Bottle框架时，可以通过以下特征进行识别： 题目描述中提到"某个单文件框架" 搜索或询问AI可确认Python本体的单文件框架是Bottle框架 页面提示"一行一个名字"等特征 2.2 绕过长度限制技巧 在Python 3.8+版本中，可以利用海象运算符( := )进行赋值，避免单行长度限制（如题目中的23字符限制）。 3. Bottle内存马攻击技术 3.1 内存马基本原理 内存马的核心思想是自定义一个路由，其中的回调函数执行攻击者指定的内容。在Bottle框架中，可以通过注册新路由实现内存马。 3.2 路由注册机制分析 Bottle框架中注册新路由的关键点： 路由方法 ： .route 默认使用'GET'方法，但也可以传入'POST'等其他方法 回调函数 ：可以使用lambda表达式动态创建函数，例如： 路由注册流程 ： 检查path是否为可调用对象 如果是，交换path和callback的角色 生成路由规则 3.3 钩子(Hook)利用技术 Bottle框架中的钩子机制也可以用于内存马攻击： before_ request ： 可以在请求处理前执行自定义代码 结果不会直接显示在前端，但会在响应头中回显 after_ request ： 与before_ request类似，可以在请求处理后执行代码 app_ reset ： 文档中提及但实际测试发现可能不支持 需要进一步研究其可利用性 3.4 编码技巧 在构造payload时，可以结合使用： UTF-8编码 Base64编码 多种编码方式组合绕过WAF检测 3.5 abort方法利用 Bottle框架中的 abort 函数可以直接抛出异常并显示结果，可以用于快速验证漏洞或输出信息。 4. 攻击实例分析 4.1 路由型内存马 成功注册恶意路由后，可以通过特定路径（如 /memshell ）执行命令，结果可能在根路径( / )显示。 4.2 钩子型内存马 通过注册before_ request或after_ request钩子，可以在请求处理前后执行恶意代码，结果可能通过响应头返回。 5. 防御建议 输入验证和过滤所有用户提供的模板内容 限制模板引擎的功能，禁用危险操作 及时更新Bottle框架到最新版本 实施严格的WAF规则，检测异常的路由注册行为 监控应用程序中异常的路由和钩子注册 6. 总结 本文详细分析了Bottle框架中SimpleTemplate模板引擎的SSTI注入漏洞和内存马攻击技术，包括： 路由注册机制及其利用方法 钩子机制的潜在攻击面 多种编码和绕过技术 实际攻击场景分析 这些技术不仅适用于安全研究，也为防御此类攻击提供了理论基础。未来研究方向包括探索app_ reset等较少使用钩子的利用可能性，以及开发更有效的检测和防御机制。