打开后整理代码
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
//显示代码
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c)for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
os python 文件目录方法模块,用来处理文件和目录
os.environ os模块环境变量
pop() pop() 方法删除字典给定键 key 所对应的值,返回值为被删除的值
想想解决方法:
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
//flask模块生成了app ,在app的config内定义了FLAG参数,参数的值为os环境变量的FLAG值
查看路由文件,很显然需要访问/shrine,
flask模板,看看是否有模板注入,在路径后添加注入,{{7*7}}
/shrine/{{7*7}}
回显为49,说明执行了里面的运算,存在模板注入
查看代码,里面相当于两个过滤
一个是replace,对()分别变成空
一个是黑名单,不允许直接传参config或者self
根据前面分析我们需要看到config,这里面应该有一个FLAG的值
利用python里面的内置函数,比如url_for和get_flashed_messages
config 对象:
config 对象就是Flask的config对象,也就是 app.config 对象。
{{ config.SQLALCHEMY_DATABASE_URI }}
url_for() 方法:
url_for() 会返回视图函数对应的URL。如果定义的视图函数是带有参数的,则可以将这些参数作为命名参数传入。
get_flashed_messages() 方法:
返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。
注入
/shrine/{{url_for.__globals__}}
查看里面的变量信息
因为我们需要查到当前的配置变量
注入{{url_for.__globals__['current_app'].config}}
得到flag