Flask Jinja2開發中遇到的的服務端注入問題研究

0×00. 前言

0×01. 測試代碼

為了更好地演示Flask/Jinja2 開發中的SSTI問題，我們搭建一個小的POC程序(基於Flask 框架)，主要由兩個python腳本組成：

Flask-test.py

一些開發者可能認為為一個簡單的404錯誤頁面去單獨創建一個模板文件是多餘的，他們更喜歡在404 視圖函數中用模板字元串（正如上述測試代碼中的page_not_found函數中的template字元串）代替單獨的404模板文件； 一些開發者還會在返回的錯誤頁面中提示用戶是哪一個URL導致了404錯誤，但他們不把錯誤的URL傳遞給render_template_string模板上下文，而是喜歡用%s動態地將問題URL傳遞給模板字元串，這些看起來都很OK。但實際上真的是這樣的嗎，讓我們接著往下看

0×02. render_template_string 函數中默認上下文對象引起的SSTI問題

我們開始測試，404函數功能沒得問題，確實顯示了錯誤信息，並指出哪一個URL導致了此問題

到這裡，很多人可能都想到了這個404函數存在的問題，對，就是XSS，是的，的確存在XSS漏洞，這也屬於SSTI，但這篇文章不想討論這一點， 如果你再深入思考一下，可能會發現這裡存在代碼注入，比如當我們的URL是下面這樣，URL中包含了Jinjia2語法表達式：

http://10.1.100.3:5000/{}

我們發現模板引擎執行了8+8，並返回了結果，這是一個簡單的SSTI問題，我們再來看看其他有趣的SSTI 問題， 我們來看看

render_template_string 函數的定義：

def render_template_string(source, **context):"""Renders a template from the given template source string

with the given context.

:param source: the sourcecode of the template to be

rendered

:param context: the variables that should be available in the

context of the template.

"""ctx = _app_ctx_stack.top

ctx.app.update_template_context(context)return _render(ctx.app.jinja_env.from_string(source),

context, ctx.app)

這裡有兩個參數，一個是source，很簡單就是需要渲染的模板字元串， 另一個是個包裹關鍵字傳遞參數（字典）， 表示的是模板上下文，這裡我們

就簡單說一下這個Flask/Jinjia2開發中的模板上下文。主要有三個上下文，

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！