shrine(攻防世界）

最新推荐文章于 2024-07-12 18:07:56 发布

ha0cker

最新推荐文章于 2024-07-12 18:07:56 发布

阅读量297

点赞数 2

文章标签： web安全

本文链接：https://blog.csdn.net/m0_70819573/article/details/129226625

版权

1.打开环境，审计代码

2.由此可知，这是在shrine路径下的ssti注入，由于过滤了config和self,可以用get_flashed_messages函数提取flag

http://61.147.171.105:60492/shrine/%7B%7Bget_flashed_messages.__globals__['current_app'].config%7D%7D

知识点总结：

1.ssti

2.get_flashed_messages函数

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ha0cker

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

【网络安全 | CTF】攻防世界 shrine 解题详析

等风来

07-24

3972

进入环境：格式化代码：这段代码创建了一个 Flask 应用对象，并设置了一个名为 FLAG 的配置项，其值来自环境变量。然后定义了两个路由，一个用于返回当前文件的内容，另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中，但黑名单过滤了config，通过Jinja2联想SSTI注入在这个程序中，/shrine/ 是定义的路由路径，会匹配到处理该路径的函数。于是构造路径：回显如下：说明SSTI可行在 Flask 中，url_for 函数是定义在 Flask 的全局命名空间中的

攻防世界-shrine题分析

weixin_46784800的博客

11-21

985

shrine 题目分析进入靶场后可以看见给出了源码，比较乱的话可以 ctrl+u查看源码：进行代码审计可以发现，这个网页是用flask模板写的，这时就很容易就联想到flask模板注入 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()

参与评论您还未登录，请先登录后发表或查看评论

攻防世界----shrine

qq_44418229的博客

07-14

830

Flask的payload集合

攻防世界--shrine-(详细操作)做题笔记

qq_43715020的博客

06-14

1018

攻防世界--shrine-笔(详细操作)做题笔记

攻防世界shrine

最新发布

weixin_73399382的博客

07-12

320

flask模版注入加沙盒逃逸，触及到知识盲区了，直接看这篇文章吧。

shrine-攻防世界

szhangliwenya的博客

04-09

744

全局变量 url_for()函数和get_flashed_messages()函数，能够访问config对象,config 对象就是Flask的config对象，也就是 app.config 对象。在调试模式下，应用会提供额外的错误信息，并可以实时重载代码。从环境变量中取出名为 'FLAG' 的值，并将其存储在 Flask 应用的配置中。对于黑名单中的每个词，生成一个 Jinja2 模板代码片段，该片段将这个词设置为。导入 Flask 框架，Flask 是一个轻量级的 Web 应用框架。

攻防世界 shrine 详解

xmj818719的博客

03-29

1904

打开题目整理源码代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤回归正题 2个@app.route 为路由第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码第二个...

[攻防世界web]shrine

JURUO222的博客

07-31

448

参考文章1 参考文章2 SSTI(服务器模板注入) sql注入是从用户获得一个输入，然后又后端脚本语言进行数据库查询，所以可以利用输入来拼接我们想要的sql语句，当然现在的sql注入防范做得已经很好了，然而随之而来的是更多的漏洞。 SSTI也是获取了一个输入，然后再后端的渲染处理上进行了语句的拼接，然后执行。当然还是和sql注入有所不同的，SSTI利用的是现在的网站模板引擎(下面会提到)，主要针对python、php、java的一些网站处理框架，比如Python的jinja2 mako tornad

攻防世界web进阶区shrine

gongjingege的博客

07-31

573

打开链接，查看源码代码审计看见了flask，考虑模板注入，@app.route后跟着路径，还有一部分过滤试一下 /shrine/{{1+1}},回显为2，确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config，flag应该就在这里面，本来可以直接查看{{config}}，但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')

【攻防世界】十七 --- shrine --- SSTI

qq_43168364的博客

12-28

468

题目 — shrine 一、writeup 二、知识点

攻防世界 shrine 解题思路

xj28555的博客

07-15

2293

进入题目发现一串源代码，但是不规则，所以我们ctrl+u查看源代码这样就整理好了代码，接下来就是审计代码了。我们来看看这个代码都写了啥。首先导入了两个模块，一个flask，一个os。然后用app.route装饰器传了两个路径那我们访问一下这个路径发现shrine后面的内容会被显示到浏览器上，那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算，那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不

【攻防世界】shrine

wangzhemvp的博客

04-05

247

（2）blacklist = ['config', 'self']：黑名单，但flag在config文件里。（1）app.config['FLAG']：把FLAG放到app里。（一般ctf把flag藏在config里）；如果config，self不能使用，就用。如果没有黑名单，直接用。

攻防世界-shrine

m0_49025459的博客

12-30

720

让用户提交 Python 代码并在服务器上执行，是一些 OJ、量化网站重要的服务，很多 CTF 也有类似的题。沙箱经常会禁用一些敏感的函数，例如 os，研究怎么逃逸、防护这类沙箱还是蛮有意思的。看到这个源码我头都大了，我直接偷懒去看别的师傅写的WP，师傅们说这个是沙箱逃逸，python沙箱逃逸的方法是利用python对象之间的引用关系来调用被禁用的函数对象。这个界面很乱奥，我们访问网页源代码，我们就能看见我们需要审计的源码了。我们把python源码复制下来，进行分析。python沙箱逃逸总结。

攻防世界-web-shrine-从0到1的解题历程writeup

CTF小白的博客

04-13

4577

题目环境分析首先开启靶机获取到题目如下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<...

攻防世界 web进阶区 shrine

m0_51395584的博客

06-22

406

攻防世界 web进阶区 shrine python的flask框架代码审计，以及相关漏洞利用

攻防世界 shrine -wp

freerats的博客

07-12

320

打开网址就是一堆代码右击查看源代码方面看些 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): de