Tplmap - 扫描服务器端模板注入漏洞的开源工具

日期:2019-09-23编辑作者:关于我们

原标题:Tplmap - 扫描服务器端模板注入漏洞的开源工具

Tplmap是一个python工具,可以通过使用沙箱转义技术找到代码注入和服务器端模板注入(SSTI)漏洞。该工具能够在许多模板引擎中利用SSTI来访问目标文件或操作系统。一些受支持的模板引擎包括PHP(代码评估),Ruby(代码评估),Jave(代码评估),Python(代码评估),ERB,Jinja2和Tornado。该工具可以执行对这些模板引擎的盲注入,并具有执行远程命令的能力。

安装Tplmap

图片 1

可以通过使用以下github链接从github存储库克隆该工具来安装Tplmap。

git clone

成功安装后,将目录路径更改为tplmap安装文件以启动tplmap.py。

测试Web应用程序中的漏洞

Tplmap不仅利用了文件系统的漏洞,而且还具有使用不同参数访问底层操作系统的能力。以下屏幕截图显示了可用于访问操作系统的不同参数选项

图片 2

以下命令可用于测试目标URL中的易受攻击的参数。

./tplmap.py -u <'目标网址'>

执行该命令后,该工具会针对多个插件测试目标URL以查找代码注入机会。

图片 3

如果发现漏洞,该工具将输出有关目标中可能注入点的详细信息。这些包括GET参数值(无论是id还是名称),模板引擎(例如Tornado),OS(例如Linux)和注入技术(例如渲染,盲)。

图片 4

对于易受攻击的目标操作系统,可以使用前面提到的其中一个参数重新运行tplmap命令。例如,我们可以通过以下方式将-os -shell选项与tplmap命令一起使用。

./tplmap.py --os-shell -u <'目标网址'>

-os -shell选项在目标操作系统上启动伪终端以执行所需的代码。

文章出处:latesthackingnews返回搜狐,查看更多

责任编辑:

本文由云顶娱乐发布于关于我们,转载请注明出处:Tplmap - 扫描服务器端模板注入漏洞的开源工具

关键词:

双卡双待可能会让苹果手机走向另一个高端

原标题:双卡双待将会是阻止苹果手机销量下降的福星? 随着科技的发展,现在大家对与即将发布三款苹果新机非常...

详细>>

最终成为引领中国电子商务发展的一股不可忽视

原标题:爱库存受邀出席鼎堃跨境电商俱乐部周年庆,共话跨境电商未来 来源标题:爱库存受邀出席鼎堃跨境电商俱...

详细>>

英特尔微软商业VR挑战赛

原标题:英特尔微软商业VR挑战赛:VRMonkeys让玩家扮演犯罪现场调查员 你是否还记得映维网在8月底报道的Ultimate Cod...

详细>>

移动进销存管理软件是SaaS软件中的一个领域

原标题:厚积薄发,管家婆手机版有望成为移动管理新贵! 移动进销存管理软件是SaaS软件中的一个领域,伴随着Sa...

详细>>