攻防世界 shrine -wp

最新推荐文章于 2024-07-12 18:07:56 发布
最新推荐文章于 2024-07-12 18:07:56 发布
阅读量316 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freerats/article/details/107301644
版权
博客主要介绍了攻防世界中关于Shrine-WP的解题过程,强调对Flask框架的理解至关重要。内容涉及源代码查看、URL过滤机制以及如何利用全局变量current_app来绕过黑名单,获取config信息,从而完成挑战。
摘要由CSDN通过智能技术生成

打开网址就是一堆代码
右击查看源代码方面看些


import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

这道题要求对flask框架有一定了解
接下来分析一下代码

@app.route('/')
def index():
    return open(__file__).read()

这里定义index,路径为根目录,作用就是展示那些源代码给我们看的

@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))

这里的路径为shrime,发现有一个过滤,无法通过小括号,过滤黑名单里的东西

最后是一个渲染模板的函数
app.config[‘FLAG’] = os.environ.pop(‘FLAG’)
flag在config文件里
如果没有黑名单的时候,我们可以传入 config,或者传入{{self._dict_}}获取,但当这些被过滤的时候,我们需要借助一些全局变量利用沙逃逸的方法,来调用被禁用的函数对象。
在shrine路径下使用{{url_for.__globlas__}}查看一下
在这里插入图片描述可以看到有current_app,这是全局变量代理,查看他的config即可

payload:shrine/{{url_for.__globals__['current_app'].config}}

在这里插入图片描述对于为什么可以传config未被黑名单禁掉,个人的理解是它这里是通过全局变量来调用函数了,没有经过定义的函数(理解错了勿喷,本人比较菜,欢迎各位大佬斧正)

冰可乐不加可乐
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 3933
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界-shrine wp
m0_47571887的博客
11-03 183
首先打开场景 右击查看源代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): d...
攻防世界shrine
最新发布
weixin_73399382的博客
07-12 297
flask模版注入加沙盒逃逸,触及到知识盲区了,直接看这篇文章吧。
shrine-攻防世界
szhangliwenya的博客
04-09 723
全局变量 url_for()函数和get_flashed_messages()函数,能够访问config对象,config 对象就是Flask的config对象,也就是 app.config 对象。在调试模式下,应用会提供额外的错误信息,并可以实时重载代码。从环境变量中取出名为 'FLAG' 的值,并将其存储在 Flask 应用的配置中。对于黑名单中的每个词,生成一个 Jinja2 模板代码片段,该片段将这个词设置为。导入 Flask 框架,Flask 是一个轻量级的 Web 应用框架。
攻防世界----shrine
qq_44418229的博客
07-14 819
Flask的payload集合
攻防世界-shrine
MILLOPE的博客
10-14 219
题目 传送门 WP 打开题目 有一段代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s):
攻防世界 shrine 详解
xmj818719的博客
03-29 1885
打开题目 整理源码 代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤 回归正题 2个@app.route 为路由 第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码 第二个...
攻防世界--shrine-(详细操作)做题笔记
qq_43715020的博客
06-14 983
攻防世界--shrine-笔(详细操作)做题笔记
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 399
攻防世界 web进阶区 shrine python的flask框架代码审计,以及相关漏洞利用
攻防世界shrine
wangzhemvp的博客
04-05 236
(2)blacklist = ['config', 'self']:黑名单,但flag在config文件里。(1)app.config['FLAG']:把FLAG放到app里。(一般ctf把flag藏在config里);如果config,self不能使用,就用。如果没有黑名单,直接用。
攻防世界shrine
羽的博客
07-21 215
import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s): .
攻防世界web进阶区shrine
gongjingege的博客
07-31 568
打开链接,查看源码 代码审计 看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤 试一下 /shrine/{{1+1}},回显为2,确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')
攻防世界web进阶区之shrine
qq_45756971的博客
07-22 346
点开题目所给链接:首先查看它的源代码:我们首先尝试一下注入,在/shrine/路径下注入{{1+1}}:发现果然可以,我们还会发现他把config和self加入了黑名单 我们用搜索writeup大法给出的payload为{{get_flashed_messages.globals[‘current_app’].config[‘FLAG’]}} 即可得到flag flag{shrine_is_good_ssti} ...
[攻防世界web]shrine
JURUO222的博客
07-31 441
参考文章1 参考文章2 SSTI(服务器模板注入) sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornad
攻防世界 shrine 解题思路
xj28555的博客
07-15 2286
进入题目 发现一串源代码,但是不规则,所以我们ctrl+u查看源代码 这样就整理好了代码,接下来就是审计代码了。我们来看看这个代码都写了啥。 首先导入了两个模块,一个flask,一个os。 然后用app.route装饰器传了两个路径 那我们访问一下这个路径 发现shrine后面的内容会被显示到浏览器上,那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算,那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不
攻防世界web进阶区shrine详解
hxhxhxhxx的博客
07-30 2063
攻防世界web进阶区shrine详解题目详解 题目 很明显给了一堆代码,我们将它整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()\ @app.route('/shrine/') def shrine(shrine):
攻防世界WEB】难度三星9分入门题(下):shrine、lottery
07-23 222
攻防世界WEB】三星9分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值