简介
Flask 是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。
漏洞概述
其中采用jinja2模板引擎传递参数,在书写不规范的时候会发生jinja模板语法的注入命令执行
环境搭建
这里使用vulhub进行搭建
地址:
https://github.com/vulhub/vulhub/tree/master/flask/ssti
进入目录并编译运行测试环境
cd vulhub-master/flask/ssti/
docker-compose build
docker-compose up -d
访问your-ip:8000即可看到页面