[WesternCTF2018]shrine--一道颇有渊源的题目讲解

最新推荐文章于 2024-03-31 01:34:18 发布
最新推荐文章于 2024-03-31 01:34:18 发布
阅读量158 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StevenOnesir/article/details/111464209
版权

这道题其实出题时候的想法是代码审计+SSTI,属于非常简单的题目

首先主界面直接给了源码(不搞假惺惺.git/.swp/www.zip那一套)
在这里插入图片描述
审计其实只要直接审计Flag就好了, 我们可以看到用了app.config去存。

但同样在黑名单里面ban了config与self。

这里我们可以采用url_for去初始化current_app,从而读取config内容。

所以直接payload:{{url_for.__globals__['current_app'].config}}

搞定。

StevenOnesir
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[WesternCTF2018]shrine 1(flask)
weixin_45577185的博客
09-10 261
非常完美的答案 分析源码 app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 上面这行代码把黑名单的东西遍历并设为空,例如:
模板注入 [WesternCTF2018]shrine1
m0_75178803的博客
02-23 412
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。输入shrine/{{7*7}}验证成功。存在flask-jinja2模板注入,发现了current_app()函数。查看这个里面的config。
[WesternCTF2018]shrine
最新发布
wikey 的博客
03-31 301
get_flashed_message()是通过flash()传入闪现信息列表的,能够把字符串对象表示的信息加入到一个消息列表,然后通过调用get_flashed_message()来取出。}}获取,但当这些被过滤的时候,current_app,这是全局变量代理,查看他的config即可,源代码会发现这里过滤了()和把’config’,’self’加入了黑名单。如果没有黑名单的时候,我们可以传入 config,或者传入{{self.引入两个模块,一个flask,一个os。那么原来格式的模板注入就不能用了,
web buuctf [WesternCTF2018]shrine
weixin_44214568的博客
04-04 1238
考点:模板注入(flask) 1.打开整理代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //显示代码 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
shrine-commerce
04-04
"shrine-commerce" 是一个基于 Flutter 和 Dart 技术构建的电子商务项目,旨在提供一个用于学习和实践 MDC-100 系列代码实验室的平台。在这个项目中,你可以深入理解如何用 Flutter 构建现代化的购物应用,同时熟悉 ...
PyPI 官网下载 | shrine-0.0.18.tar.gz
01-16
在给定的资源中,我们下载的是名为“shrine-0.0.18.tar.gz”的文件,这是一个从PyPI官方获取的Python库,版本号为0.0.18。 **Shrine详解** Shrine 是一个用于处理文件上传的Python库,它提供了一套灵活且可扩展...
shrine-rails-example:使用Shrine gem的示例应用程序
03-10
神社Rails演示 这是的Rails演示。 它允许用户创建相册和附加图像。 该演示显示了高级工作流程: 上载: 用户选择一个或多个文件 将文件异步异步直接上传到S3,并显示进度条 缓存的文件数据被写入隐藏字段 ...
Ruby-Shrine用来处理文件上传的Ruby工具包
08-15
Ruby-Shrine是一个强大的Ruby库,专门用于处理文件上传任务,为开发者提供了灵活、可扩展的解决方案。在Web应用中,文件上传是常见的功能,Shrine致力于简化这一过程,确保安全、可靠的文件处理。 Shrine的核心理念...
第五十三题——[WesternCTF2018]shrine
分享简单的安全技术
04-29 265
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>')
WesternCTF2018_shrine
抒情诗
05-08 457
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.csdn.net/qq_42812036/article/details/104324923 0x00 开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码: import flask import os app = flask.Fla...
BUUCTF [WesternCTF2018] shrine
Senimo
12-16 482
BUUCTF [WesternCTF2018] shrine 考点: Flask模版注入 url_for()和get_flashed_messages()函数绕过黑名单 __globals__、__dict__等变量含义 启动环境: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op
XCTF-攻防世界CTF平台-Web类——16、shrine(Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
Onlyone_1314的博客
12-11 1636
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址: 这是Python的flask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内
【学习笔记18】buu [WesternCTF2018]shrine
weixin_43553654的博客
05-18 417
打开网站,查看源码看到下面的一串代码 import flask//flask模板,首先就想到了想到了之前我写的一篇flask模板ssti逃逸 import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG')//注册了一个名为FLAG的config,这里基本可以确定是flag。 @app.route('...
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 3893
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值