Tplmap – 自动服务器端模板注入利用工具
服务器端模板注入是一种安全漏洞,黑客将恶意输入注入模板以在服务器端运行命令。我们可以使用各种自动化工具来执行此漏洞利用。 Tplmap是一种自动化的网络安全工具,可以对 SSTI(服务器端模板注入)漏洞进行检查和利用。 Tplmap 工具支持多种模板引擎,如PHP、Ruby、 Python、Jinja2 和 Tornado。利用漏洞后我们可以获得OS-SHELL。这个工具是用Python语言开发的,也可以在 GitHub 平台上使用。
注意:确保您的系统上安装了Python ,因为这是一个基于 Python 的工具。点击查看安装过程:Linux上的Python安装步骤
在 Kali Linux 操作系统上安装 Tplmap 工具
第 1 步:使用以下命令在您的 Kali Linux 操作系统中安装该工具。
git clone https://github.com/epinna/tplmap.git
第 2 步:现在使用以下命令移动到该工具的目录。您必须在目录中移动才能运行该工具。
cd tplmap
第 3 步:您在 tplmap 的目录中。现在您必须使用以下命令安装 tplmap 的依赖项。
sudo pip3 install -r requirements.txt
第 4 步:所有依赖项都已安装在您的 Kali Linux 操作系统中。现在使用以下命令运行该工具并检查帮助部分。
python3 tplmap.py --help
在 Kali Linux 操作系统上使用 Tplmap 工具
示例 1:基本漏洞扫描
python3 tplmap.py -u ‘http://www.target.com/page.php?id=1*’
在此示例中,我们正在检查目标域上的服务器端模板注入漏洞。
该工具正在逐一测试每种类型的插件。
我们发现了 Engine Jinja2 的漏洞之一。
示例 2:利用漏洞
python3 tplmap.py –os-shell -u ‘http://www.target.com/page.php?id=1*’
在此示例中,我们将尝试在目标域上获得一个 os shell。
该工具正在扫描漏洞。
我们已经有了 shell,我们可以运行命令来获取信息。
