首先是这广为人知的图片,就放在这里了,嗯，肥肠不错

0x01 从盘古开天辟地讲起…

Python 一切皆对象

首先，我们来梳理一下python里面错综复杂的关系
python object基类_Python 一切皆对象

object是最顶层基类，object是type的实例，而type又继承object，type是自身的实例。

type也是自身的实例化，object创造type，type创造一切和他自己，有点像道生一，一生三，三生万物…..type连自己都不放过，把自己都变成了自己的对象。type自己实例化自己。

object是父子关系的顶端，所有的数据类型的父类都是它；type是类型实例关系的顶端，所有对象都是它的实例的。

0x02 SSTI 原理

这是四大天王

{% ... %} for Statements
 
{{ ... }} for Expressions to print to the template output
 
{# ... #} for Comments not included in the template output
 
#  ... ## for Line Statements

{%%}

主要用来声明变量，也可以用于条件语句和循环语句。

    {% set c= 'kawhi' %}
{% if 81==9*9 %}kawhi{% endif %}
{% for i in ['1','2','3'] %}kawhi{%endfor%}

{{}}

用于将表达式打印到模板输出，比如我们一般在里面输入2-1，2*2，或者是字符串，调用对象的方法，都会渲染出结果

    {{2-1}} #输出1
{{2*2}} #输出4

我们通常会用4简单测试页面是否存在SSTI

{##}

表示未包含在模板输出中的注释

    ##

有和{%%}相同的效果

这里的模板注入主要用到的是{{}}和{%%}

类的知识总结

__class__            类的一个内置属性，表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组，在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合，Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类，返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值，其实就是调用这个魔术方法，比如a['b']，就是a.__getitem__('b')
__builtins__         内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了，百度都有。
__import__           动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串，可以理解成就是打印出来。
url_for              flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模块：{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文，一个全局变量。

request              可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外，也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>

构造链思路:

找到父类<type ‘object’> —> 寻找子类 —> 找关于命令执行或者文件操作的模块。

首先，需要一个类
然后，需要获得object类，因为所有的类都是继承自它，可以用__base__,__mro__[-1]拿到

‘’.class.bases[0]
<class ‘object’>

‘’.class.base
<class ‘object’>

‘’.class.mro[1]
<class ‘object’>
‘’.class.mro[-1]
<class ‘object’>
然后，需要用__subclasses__()拿到子类列表
最后，在子类列表里面找到getshell的类