01 漏洞概况 JumpServer 存在Jinja2 模板注入漏洞,攻击者可以利用 JumpServer 的 Ansible 中的 Jinja2 模板注入漏洞,在 Celery 容器中执...
04月22日9 views评论celery
jumpserver
【漏洞通告】Jumpserver Jinja2 模板注入漏洞
04月22日9 views评论celery
jumpserver
04月22日9 views评论celery
jumpserver
jinja2 沙箱 bypass
最近挖不出洞,正好和别的师傅聊到这个,水一篇。考虑一个比较小众、但可能遇到的场景:jinja2 模板可控,上了沙箱 SandboxedEnvironment,怎么快速判断有没有搞头?两个真实的漏洞 c...
04月22日安全文章2 views评论bypass
uuid
【漏洞复现】JumpServer JINJA2注入代码执行漏洞(CVE-2024-29202)
一、漏洞概述漏洞名称 JumpServer JINJA2注入代码执行漏洞CVE IDCVE-2024-29202漏洞类型注入发现时间2024-03-29漏洞评分9.9漏洞等级高危攻击向量网...
04月22日4 views评论代码执行漏洞
漏洞复现
漏洞分析 | LangChain代码注入漏洞(CVE-2023- 36281)
漏洞概述LangChain是一个 LLM 编程框架,通过可组合性使用LLM构建应用程序。LangChain 0.0.171版本存在代码注入漏洞,远程攻击者可以通过load_prompt函数的JSON文...
04月15日2 views评论chain
漏洞分析
漏洞预警 | JumpServer JINJA2注入代码执行漏洞
0x00 漏洞编号CVE-2024-292020x01 危险等级高危0x02 漏洞概述Jumpserver 是一款使用 Python, Django 开发的开源跳板机系统, 为互联网企业提供了认证,授...
04月04日18 views评论代码执行漏洞
漏洞预警
【漏洞通告】JumpServer JINJA2注入代码执行漏洞(CVE-2024-29202)
一、漏洞概述漏洞名称 JumpServer JINJA2注入代码执行漏洞CVE IDCVE-2024-29202漏洞类型注入发现时间2024-03-29漏洞评分9.9漏洞等级高危攻击向量网...
04月02日安全漏洞22 views评论jumpserver
代码执行漏洞
【漏洞预警】Jumpserver<3.10.7 Jinja2注入远程代码执行漏洞CVE-2024-29202
漏洞描述:JumpServer是开源的堡垒机和运维安全审计系统,在JumpServer3.10.7之前版本中,攻击者可以通过构建恶意playbook模板利用Ansible中的Jinja2模板引擎从而在...
04月02日17 views评论漏洞预警
远程代码执行漏洞
SSTI之细说jinja2的常用构造及利用思路
现在关于ssti注入的文章数不胜数,但大多数是关于各种命令语句的构造语句,且没有根据版本、过滤等具体细分,导致读者可能有一种千篇一律的感觉。所以最近详细整理了一些SSTI常用的payload、利用思路...
03月30日44 views评论框架
模板
详解Flask框架SSTI攻击的利用与绕过技巧
Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。Flask使用 BSD 授权。Flask也被称为 “m...
03月06日50 views评论flask
ssti
【漏洞分析】Flask框架(jinja2)&服务端模板注入漏洞(SSTI)
Flask简介Flask 是一个 web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个 web 应用程序。这个 wdb 应用程序可以使一些 web 页面、博客、wiki、基于 w...
12月20日118 views评论app
web
SecMap - SSTI(mako)
🍊 SecMap - SSTI(mako)这是橘子杀手的第 47 篇文章题图摄于:杭州 · 青山湖SSTI(Server-Side Template Injection)服务端模板注入。上一篇我们介绍...
05月01日90 views评论import
python
从一道题看jinja2过滤器在flask模板注入的用处 - 东大村的猹
题目来源是2020年DASCTF 8月赛 ,通过这道题好好学习到了一些python jinja2 ssti的姿势。当时没做出来,后来参考颖奇师傅的博客做的。 链接:https://www.gem-lo...
12月31日68 views评论flask
题目