[SSTI自动化工具]Fenjing安装说明

已于 2023-07-12 00:16:59 修改
阅读量3.1k 收藏 24
点赞数 4
文章标签: 自动化 安全 运维
于 2023-07-11 23:32:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61155226/article/details/131671131
版权

         介绍:焚靖是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本,可以自动攻击给定的网站或接口。

        下载地址:   GitHub - Fenjing

        安装教程:

Step1.首先将压缩包解压,然后进入其目录创建一个虚拟Venv环境

python -m venv vv_fenjing

Step2.进入对应的Venv虚拟环境,对Venv虚拟环境有疑问的可以看完之前的博客

CMD : 
vv_fenjing\Scripts\activate.bat
PowerShell : 
vv_fenjing\Scripts\Activate.ps1

Step3.安装对应的依赖

pip install -r requirements.txt -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com

 官方使用说明:

Usage: python -m fenjing scan [OPTIONS]

  扫描指定的网站

Options:
  -u, --url TEXT       需要扫描的URL
  -e, --exec-cmd TEXT  成功后执行的shell指令,不填则进入交互模式
  --interval FLOAT     每次请求的间隔
  --detect-mode TEXT   检测模式,可为accurate或fast
  --user-agent TEXT    请求时使用的User Agent
  --header TEXT        请求时使用的Headers
  --cookies TEXT       请求时使用的Cookie
  --help               Show this message and exit.

Usage: python -m fenjing crack [OPTIONS]

  攻击指定的表单

Options:
  -u, --url TEXT       form所在的URL
  -a, --action TEXT    form的action,默认为当前路径
  -m, --method TEXT    form的提交方式,默认为POST
  -i, --inputs TEXT    form的参数,以逗号分隔
  -e, --exec-cmd TEXT  成功后执行的shell指令,不填则成功后进入交互模式
  --interval FLOAT     每次请求的间隔
  --detect-mode TEXT   分析模式,可为accurate或fast
  --user-agent TEXT    请求时使用的User Agent
  --header TEXT        请求时使用的Headers
  --cookies TEXT       请求时使用的Cookie
  --help               Show this message and exit.

Usage: python -m fenjing get-config [OPTIONS]

  攻击指定的表单,并获得目标服务器的flask config

Options:
  -u, --url TEXT      form所在的URL
  -a, --action TEXT   form的action,默认为当前路径
  -m, --method TEXT   form的提交方式,默认为POST
  -i, --inputs TEXT   form的参数,以逗号分隔
  --interval FLOAT    每次请求的间隔
  --detect-mode TEXT  分析模式,可为accurate或fast
  --user-agent TEXT   请求时使用的User Agent
  --header TEXT       请求时使用的Headers
  --cookies TEXT      请求时使用的Cookie
  --help              Show this message and exit.

举例:CTFShow Web365

启动Fenjing-Web页面

然后开始梭哈:

SlackMoon
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SSTI模板注入详细总结及WAF绕过_fenjing ssti(1)
m0_61072747的博客
04-08 1107
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
ssti-payload:SSTI有效载荷生成器
02-06
SSTI有效载荷发生器 该生成器是针对特定类型的Java SSTI的,其受以下启发: ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).conc
fenjing工具ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 1929
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
SSTI注入漏洞
最新发布
大河之犬的博客
06-05 977
服务器端模板注入是一种漏洞,当攻击者可以将恶意代码注入到在服务器上执行的模板中时发生Jinja是一种常用的用于Web应用程序的模板引擎。在这段易受攻击的代码中,用户请求中的 name 参数直接通过 render 函数传递到模板中。这可能允许攻击者向 name 参数中注入恶意代码,导致服务器端模板注入。将负载注入到name参数中。此负载可以包含Jinja模板指令,使攻击者能够执行未经授权的代码或操纵模板引擎,潜在地控制服务器。
[SSTI自动化工具]Fenjing安装说明_fenjing ssti
2401_84969805的博客
05-13 751
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
SSTImap:一款带有交互式接口的自动化SSTI检测工具
m0_60571990的博客
03-16 1113
SSTImap:一款带有交互式接口的自动化SSTI检测工具
SSTI(模板注入)
ljj20020718的博客
06-02 313
SSTI注入形成示例如下:payload:{{config}}(用来测试是否存在SSTI注入)SSTI基本的思路就是通过找到合适的魔术方法,一步步去执行,从而得到我们想要的结果。返回结果成功执行系统命令并显示whoami信息。一个简单的使用flask创建的web服务器程序。安全的flask程序编写如下。控制台下也会产生访问记录。
SSTI漏洞检测工具tplmap的安装与使用
weixin_42194536的博客
05-04 904
参考:[https://www.cnblogs.com/ktsm/p/15473100.html]
Garud:自动化工具可以扫描子域,子域接管,然后过滤掉XSS,SSTI,SSRF和更多注入点参数,并自动扫描一些低悬空漏洞
03-21
一种自动化工具,可以扫描子域,子域接管,然后过滤出xss,ssti,ssrf和更多注入点参数。 要求: Go语言,Python 2.7或Python 3。 系统要求:建议在具有1VCPU和2GB内存的vps上运行。 使用的工具-您必须安装这些工具...
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过》 SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
SSTI
03-09
2. **参数化查询**:使用预编译的SQL语句或ORM框架,防止SQL注入,同时也有助于防御SSTI。 3. **最小权限原则**:限制模板引擎的功能,禁止执行潜在危险的操作。 4. **使用安全的模板引擎**:选择具有良好安全记录和...
关于SSTI模板注入漏洞利用工具开发
全栈胖叔叔
05-08 749
因为参加CTF比赛,随手写了一个通用的SSTI模板注入工具,可以用于执行脚本和基本命令。演示地址为测试靶机地址。 上图中已经把文件目录结构爆出来了,读文本文件直接爆出Flag …
【小工具发现系列-1】fenjin(焚靖)
m0_73683234的博客
03-17 1558
之前出了一道常规ssti题目,被人用工具秒了,问人要到之后试了一下,发现确实香(jianjia2的ssti要被秒破了)超长的payload就给打出来了(这是真的香,彻底解放双手+不动脑子)使用scan可以自动的扫描网站,最后反弹一个shell。如果要更详细一点可以查看crack的--help。这里我使用了ssti-lab 的最后的混合过滤。QQ:2912055973 欢迎大家讨论。安装过程有很多,我选择了相对简单的方法。主环境安装焚靖之后,使用方法也很简单。这个小工具就介绍完啦(很香)
SSTI学习(1)--python中的SSTI--jinja
qq_75120258的博客
04-12 647
引发SSTI漏洞的原因是因为render_template渲染函数的问题。渲染函数在渲染的时候,往往对用户输入的变量不做渲染。也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。
SSTI漏洞初手入门
kracer的博客
01-08 956
0x01 什么是SSTI SSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。 补充: 1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...
SSTI入门详解
E1even的博客
03-15 5038
关于基于flask的SSTI漏洞的阶段学习小结: SSTI的理解: SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。 SSTI引发的真正原因: render_template渲染函数的问题 render_template渲染函数是什么: 就是把HTML涉及的页面与用户数据分离开,这样方便展示和管理。当用户输入自己的数据信息,HTML页面可以根据用户自身的信息来展示页面,因此才有了这个函数的使用。 ...
WEB SSTI(qsnctf)
2301_76718200的博客
11-30 784
发现是SSTI模板注入使用fenjing工具自动化SSTI模板注入。发现没有没事用,干脆直接查看更目录下所以东西。cat查看flag发现没有显示出什么。ls /查看根目录下有什么。以下是我已经安装好了。
[GDOUCTF 2023] 部分web题解
qq_44640313的博客
04-18 1589
GDOUCTF 2023,主要见识了fenjing的使用
flask ssti
09-26
Flask SSTI(Server-Side Template Injection)是指在Flask应用中,由于未正确处理用户输入,导致用户输入的模板言被当作代码执行的漏洞。攻击者可以通过向模板注入恶意代码来执行任意命令或获取敏感信息。要防止SSTI漏洞,开发者需要注意对用户输入进行适当的过滤和转义。 在上面提供的代码中,虽然简单,但存在SSTI漏洞的潜在风险。因为在模板中,我们可以看到没有对用户输入进行任何处理,直接将其作为字符串插入到返回的HTML中。这就为攻击者注入恶意代码提供了机会。 为了防止SSTI漏洞,我们应该使用Flask提供的安全特性,如使用Jinja2模板引擎的自动转义功能。通过将用户输入标记为安全,Jinja2会自动过滤掉其中的危险代码,从而防止SSTI攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值