攻防世界web进阶区shrine详解

最新推荐文章于 2024-04-09 00:36:20 发布
最新推荐文章于 2024-04-09 00:36:20 发布
阅读量1.9k 收藏 7
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxhxhxhxx/article/details/107698218
版权

攻防世界web进阶区shrine详解

题目

在这里插入图片描述
很明显给了一堆代码,我们将它整理一下

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')

@app.route('/')
def index():
    return open(__file__).read()\

@app.route('/shrine/')
def shrine(shrine):
   
   def safe_jinja(s):
       s = s.replace('(', '').replace(')', '')
       blacklist = ['config', 'self']
       return ''.join(['{{% set {}=None%}}'.format(c)for c in blacklist]) + s
       return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
    app.run(debug=True)

详解

我们发现他是一个flask框架,这里我们猜测他是ssti注入,(模板注入)
我们使用tplmap试试

./tplmap.py -u ‘xxxxxx’

发现不行,
在这里插入图片描述
然后发现这里有两个路径,我们访问试试,并测试测试模板注入
在这里插入图片描述
我们发现,他存在模板注入
在这里插入图片描述

同时,他将config和self当成了黑名单 而flag在config文件里
如果没有黑名单的时候,我们可以传入 config,或者传入{{self.dict}}获取,但当这些被过滤的时候,我们需要借助一些全局变量利用沙盒逃逸的方法,来调用被禁用的函数对象。

current_app,这是全局变量代理,查看他的config即可

我们输入的值首先被传到了safe_jinja函数,然后由flask.render_template_string进行渲染
传入的( )都会被置换为空
在这里插入图片描述
我们写payload

{{url_for.__globals__['current_app'].config}}

获取全局变量的config
在这里插入图片描述

那么我们看看官方的wp

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

获取全局文本,current_app的config里面的flag

详细的模板注入
见这里
https://zhuanlan.zhihu.com/p/93746437

無名之涟
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 3828
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界web进阶shrine
gongjingege的博客
07-31 552
打开链接,查看源码 代码审计 看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤 试一下 /shrine/{{1+1}},回显为2,确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')
shrine-commerce
04-04
MDC-100系列代码实验室 入门 要获得Flutter入门方面的帮助,请查看我们的在线。
攻防世界 shrine 详解
xmj818719的博客
03-29 1843
打开题目 整理源码 代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤 回归正题 2个@app.route 为路由 第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码 第二个...
shrine-攻防世界
最新发布
szhangliwenya的博客
04-09 666
全局变量 url_for()函数和get_flashed_messages()函数,能够访问config对象,config 对象就是Flask的config对象,也就是 app.config 对象。在调试模式下,应用会提供额外的错误信息,并可以实时重载代码。从环境变量中取出名为 'FLAG' 的值,并将其存储在 Flask 应用的配置中。对于黑名单中的每个词,生成一个 Jinja2 模板代码片段,该片段将这个词设置为。导入 Flask 框架,Flask 是一个轻量级的 Web 应用框架。
攻防世界--shrine-(详细操作)做题笔记
qq_43715020的博客
06-14 926
攻防世界--shrine-笔(详细操作)做题笔记
攻防世界----shrine
qq_44418229的博客
07-14 776
Flask的payload集合
攻防世界-shrine
m0_49025459的博客
12-30 704
让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。看到这个源码我头都大了,我直接偷懒去看别的师傅写的WP,师傅们说这个是沙箱逃逸,python沙箱逃逸的方法是 利用python对象之间的引用关系来调用被禁用的函数对象。这个界面很乱奥,我们访问网页源代码,我们就能看见我们需要审计的源码了。我们把python源码复制下来,进行分析。python沙箱逃逸总结。
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
react-shrine:使用React构建的“ Shrine”渐进式Web应用程序示例
02-05
该项目是通过。 您将在下面找到一些有关如何执行常见任务的信息。 您可以在找到本指南的最新版本。 目录 更新到新版本 Create React App分为两个包: create-react-app是用于创建新项目的全局命令行实用程序。...
shrine.cr:适用于Crystal应用程序的文件附件工具包。 受神殿Ruby启发
02-05
Shrine.cr是一个专门为Crystal编程语言设计的文件附件处理库,灵感来源于Ruby社中的 Shrine 框架。这个库提供了一套全面的解决方案,用于在Crystal应用程序中上传、存储和管理文件,同时也支持多种ORM适配器,使得...
Shrine View-crx插件
04-07
"Shrine View-crx插件"是一款专为谷歌浏览器(Chrome)设计的扩展程序,它为用户带来了一种独特的新标签页体验。当用户打开一个新的浏览器标签时,不再是普通的空白页面,而会显示一个随机选取的日本Shinto神社的...
PyPI 官网下载 | shrine-0.0.18.tar.gz
01-16
**Shrine详解** Shrine 是一个用于处理文件上传的Python库,它提供了一套灵活且可扩展的接口来处理文件上传流程。Shrine的核心思想是将文件上传任务分解为几个独立的组件,如上传存储、文件元数据管理以及与应用...
shrine:使用Shrine项目的MDC的Android模板项目
05-13
SHRINE-Android学习项目MDC-101-MDC-104:适用于Android的材料组件(Java) 您可以使用Shrine作为模板,使用不同的提交以不同的级别启动新的应用程序。 由brucemakallan编辑
基于Material Design 2实现的Shrine-MaterialDesign2..zip
09-24
【标题】基于Material Design 2实现的Shrine-MaterialDesign2项目详解 【描述】Material Design 2,也称为Material Design Lite,是Google推出的一种设计语言的升级版,旨在为应用和网站提供更加统一、现代且富有...
shrine, ruby 应用程序的文件附件工具包.zip
09-18
shrine, ruby 应用程序的文件附件工具包 神殿Shrine是 ruby 应用程序中文件附件的工具包。如果你不确定为什么要小心,那么鼓励你阅读的动机,创建神殿的Shrine 。资源文档:shrinerb.com源:github....
攻防世界 shrine 解题思路
xj28555的博客
07-15 2246
进入题目 发现一串源代码,但是不规则,所以我们ctrl+u查看源代码 这样就整理好了代码,接下来就是审计代码了。我们来看看这个代码都写了啥。 首先导入了两个模块,一个flask,一个os。 然后用app.route装饰器传了两个路径 那我们访问一下这个路径 发现shrine后面的内容会被显示到浏览器上,那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算,那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不
攻防世界XCTF:shrine
末初的CSDN博客
03-14 6649
这题涉及到我的知识盲,主要是以下几点: SSTI Flask 框架 Bypass Sandbox 整理得到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op...
攻防世界 shrine -wp
freerats的博客
07-12 298
打开网址就是一堆代码 右击查看源代码方面看些 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): de
XCTF-攻防世界CTF平台-Web类——16、shrine(Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
Onlyone_1314的博客
12-11 1590
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址: 这是Python的flask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值