kali——fenjing的使用
目录
前言
fenjing安装
检测漏洞
前言
Fenjing是一个专为CTF(Capture The Flag)比赛设计的工具,它主要用于自动绕过Web应用防火墙(WAF),进行Jinja2的服务端模板注入(SSTI)漏洞的检测和利用。
Fenjing工具的主要功能是针对使用Jinja2模板引擎的Web应用程序进行自动化的安全测试。Jinja2是一种流行的Python模板引擎,广泛用于动态生成HTML页面。然而,如果配置不当或存在漏洞,攻击者可能会通过SSTI注入恶意代码,从而控制服务器或窃取敏感数据。Fenjing通过自动发送特制的请求来探测和利用这些漏洞,帮助安全研究人员和CTF参赛者发现潜在的安全隐患。
Fenjing支持多种高级功能和自定义选项,使其成为一个强大的安全测试工具。用户可以通过指定URL、HTTP头、Cookie等参数来定制攻击策略。此外,Fenjing还允许设置请求间隔和检测模式,以适应不同的测试需求和避免触发WAF的防御机制。这些特性使得Fenjing不仅适用于CTF比赛,也能在实际应用中用于安全审计和渗透测试。
fenjing安装
pip install fenjing检测漏洞
fenjing scan --url 网址
或者
python -m fenjing scan --url 网址对指定的URL进行扫描,检测是否存在Jinja SSTI漏洞。