【小工具发现系列-1】fenjin（焚靖）

a1ei

已于 2024-04-01 20:25:15 修改

阅读量4k

点赞数 23

文章标签： web安全安全架构网络安全 flask

于 2024-03-17 20:42:16 首次发布

本文链接：https://blog.csdn.net/m0_73683234/article/details/136789243

版权

之前出了一道常规ssti题目，被人用工具秒了，问人要到之后试了一下，发现确实香（jianjia2的ssti要被秒破了）

安装过程有很多，我选择了相对简单的方法

pip install fenjing -i https://pypi.tuna.tsinghua.edu.cn/simple

主环境安装焚靖之后，使用方法也很简单

使用scan可以自动的扫描网站，最后反弹一个shell

python -m fenjing scan --url <你的目标url>

这里我使用了ssti-lab 的最后的混合过滤

这个直接反弹了一个shell

超长的payload就给打出来了（这是真的香，彻底解放双手+不动脑子）

如果要更详细一点可以查看crack的--help

这个小工具就介绍完啦（很香）

QQ：2912055973 欢迎大家讨论

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

a1ei

关注关注

23
点赞
踩
27

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[SSTI自动化工具]Fenjing(焚靖)Windows下载报错及正确安装及实际CTF题目中运用

5fn

07-17

3439

本篇文章旨在说明Windows系统上安装fenjing的报错及解决方案，以及展示两种方法----它的基本终端上的用法，以及flask实现框架如何运用在CTF实战题目上并得到flag。

kali——fenjing的使用

bunengyongzho666的博客

10-17

1420

Fenjing是一个专为CTF（Capture The Flag）比赛设计的工具，它主要用于自动绕过Web应用防火墙（WAF），进行Jinja2的服务端模板注入（SSTI）漏洞的检测和利用。Fenjing工具的主要功能是针对使用Jinja2模板引擎的Web应用程序进行自动化的安全测试。Jinja2是一种流行的Python模板引擎，广泛用于动态生成HTML页面。然而，如果配置不当或存在漏洞，攻击者可能会通过SSTI注入恶意代码，从而控制服务器或窃取敏感数据。

3 条评论您还未登录，请先登录后发表或查看评论

SSTI_fenjing（焚靖）

2302_81328699的博客

09-30

585

ssti

fenjing:秒杀ssti漏洞！顺带提供绕waf脚本教程！

m0_67236448的博客

02-24

558

开始分析，在分析结束后弹出成功getshell，接下来就可以为所欲为了，可以看到我这里执行了抓取flag的命令。的JinjaSSTI绕过WAF的全自动脚本，可以自动攻击给定的网站或接口。直接在目录呼出命令行开始启动脚本，使用如下命令。这两个任意一个框都可以注入，但是有以下waf。我尝试普通扫描无法绕过，于是决定手动构造脚本。我们将这个脚本丢在fenjing的目录下。首先找到我们下载的fenjing安装包。我拿ctfshow的ssti一道题举例。我拿我们校队之前招新的一道题目来举例。之后回车，就无脑跑了。

2023年“羊城杯”网络安全大赛决赛 AWDP [Break+Fix] Web方向题解wp 全

热门推荐

Jay17的博客

09-16

1万+

2023年“羊城杯”网络安全大赛决赛 AWDP [Break+Fix] Web方向题解wp 全

[SSTI自动化工具]Fenjing安装说明

m0_61155226的博客

07-11

1万+

SSTI自动化工具

Fenjing 项目安装与使用指南

gitblog_00885的博客

08-08

823

Fenjing 项目安装与使用指南项目地址:https://gitcode.com/gh_mirrors/fe/Fenjing 1. 项目的目录结构及介绍 Fenjing 项目的目录结构如下： Fenjing/ ├── examples/ │ └── README.md ├── Fenjing/ │ ├── __init__.py │ ├── main.py │ ├── conf...

fenjing工具，ssti

12-17

fenjing一把梭哈ssti，简单绕过waf

代码审计-Python Flask

梦想闹钟

10-14

902

flask的session是通过加密后保存在cookie中的，有加密就需要有解密用的密钥，只要用到了flask的session模块，就一定要配置’SECRET_KEY’这个全局宏。jinja2是Flask作者开发的一个模板系统，起初是仿django模板的一个模板引擎，为Flask提供模板支持，由于其灵活，快速和安全等优点被广泛使用。也可以在攻击成功后生成并返回对应的payload。焚靖既可以作为命令行程序使用，也可以作为python库导入到脚本中，其还提供一个网页UI方便不熟悉命令行的选手使用。

WEB SSTI(qsnctf)

2301_76718200的博客

11-30

1120

发现是SSTI模板注入使用fenjing工具自动化SSTI模板注入。发现没有没事用，干脆直接查看更目录下所以东西。cat查看flag发现没有显示出什么。ls /查看根目录下有什么。以下是我已经安装好了。

kali安装fenjin（焚靖）

01-17

### 如何在 Kali Linux 上安装 Fenjin 工具 Fenjin 是一款针对 Web 应用程序的安全测试工具，在 Kali Linux 中可以通过多种方式获取并安装此工具。 #### 方法一：通过 APT 包管理器安装如果 Fenjin 已经被纳入...

刷题学习记录

qq_73861475的博客

12-14

545

进入环境是一个转化框和运行框既然是rce还有运行框就只用输入命令等待回显就行paylaod：得到flag。

NewStarCTF 2022 web方向题解 wp

Jay17的博客

08-29

3085

NewStarCTF 2022 web方向题解 wp

WEB安全--Java安全--CC1利用链

最新发布

m0_74800552的博客

05-14

1396

CC1利用链的原理与构建方式

Web安全核心内容与常见漏洞总结

weixin_47389477的博客

05-14

227

启用 ‌Content Security Policy（CSP）‌ 限制脚本加载源，阻断 XSS 攻击链。使用参数化查询（Prepared Statements）防御 SQL 注入。对用户输入进行严格校验（如正则表达式匹配），过滤特殊字符（如。输出数据时进行 HTML 实体编码，避免 XSS 攻击。实现细粒度权限管理（如 RBAC 模型），避免越权操作。部署 ‌Web 应用防火墙（WAF）‌ 过滤恶意流量。使用 SSL/TLS 加密数据传输，防止中间人攻击6。强制使用多因素认证（MFA）提升账户安全性。

深入浅出入侵检测系统（IDS）的工作原理与应用场景

JakeMa1024的博客

05-14

1162

入侵检测系统（IDS）是网络安全领域的关键工具，被誉为“火眼金睛”，能够实时监测网络流量和系统行为，识别潜在的入侵企图和异常活动。IDS通过数据收集、分析、威胁评估和响应处理四个步骤，利用特征匹配和异常检测技术，发现并报告可疑行为。与防火墙不同，IDS不直接拦截攻击，而是通过警报和日志记录帮助管理员及时应对威胁。IDS的优势在于实时监测、低误报率和安全审计，但也存在无法主动防御、依赖人工响应和对未知攻击识别有限的缺点。未来，随着人工智能和机器学习的发展，IDS的检测能力将进一步提升，与防火墙等其他安全技术协

2025 AI如何重构网络安全产品

关注博文底部公众号，发送标题关键字获取文档。

05-14

1012

深度解析网闸策略：构建坚固的网络安全防线

m0_67544876的博客

05-14

1130

在数字化浪潮中，网络安全已成为企业、机构乃至国家稳定发展的关键要素。随着网络攻击手段日益复杂多样，传统的网络安全防护措施难以满足日益增长的安全需求。网闸作为一种先进的网络安全设备，以其独特的隔离与数据交换机制，在保障网络安全方面发挥着不可替代的重要作用。本文将深入探讨网闸策略，全面解析其原理、类型、配置要点以及在不同场景下的应用，助力读者构建坚如磐石的网络安全防线。