攻防世界-web-shrine-从0到1的解题历程writeup

最新推荐文章于 2024-04-16 14:30:33 发布
最新推荐文章于 2024-04-16 14:30:33 发布
阅读量4.5k 收藏
点赞数 2
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41429081/article/details/105487173
版权

题目环境分析

首先开启靶机获取到题目如下

import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')

@app.route('/')
def index():
return open(__file__).read()

@app.route('/shrine/<path:shrine>')
def shrine(shrine):
  def safe_jinja(s):
    s = s.replace('(', '').replace(')', '')
    blacklist = ['config', 'self']
    return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
  return flask.render_template_string(safe_jinja(shrine))

if __name__ == '__main__':
app.run(debug=True)

第一步对题目给出代码进行分析

@app.route('/')
def index():
return open(__file__).read()

默认访问路径为‘/’,那么会将源代码读取出来,也就是默认页面所呈现的。

@app.route('/shrine/<path:shrine>')
def shrine(shrine):
  def safe_jinja(s):
    s = s.replace('(', '').replace(')', '')
    blacklist = ['config', 'self']
    return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
  return flask.render_template_string(safe_jinja(shrine))

这边访问‘/shrine/’路径下,传入一个值,返回的是

flask.render_template_string(safe_jinja(shrine))

我们输入的值首先被传到了safe_jinja函数,然后由flask.render_template_string进行渲染
对于没有用过flask框架的我来说理解safe_jinja函数最后的return操作有点困难,我本地执行了一下

图片

很容易理解的是,我们传入的s会首先被去除‘(’,‘)’,然后在最后加上处理后的s,前面是

{% set config=None%}{% set self=None%}

可以知道是结合flask.render_template_string渲染肯定会有漏洞。

解题过程

看到这边忽然才发现,flask最著名的不就是模板注入吗,直接模板注入不就行了。

图片

发现果然可以执行。

但是我们之前已经发现他会将’(’,’)'替代。并且{% set config=None%}{% set self=None%},将config和self加入了黑名单。

这边百度了一下flask模板注入绕过,发现并没有绕过括号的。。。。。

于是启动搜索writeup大法。

给出的payload为

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}
CTF小白
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
将此行添加到您的应用程序的Gemfile中: gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # ...
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
【CTF | 网络安全】攻防世界 command_execution 解题详析
等风来
05-21 5677
[CTF/网络安全] 攻防世界 command_execution 解题详析
攻防世界题目练习——Crypto密码新手+引导模式(一),作为网络安全程序员
最新发布
2401_83946224的博客
04-16 455
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。由于前面128项式子中,mask的系数initState[0-127]有很多0,因此无法根据前128个式子计算出mask的值,需要从outputState[0]开始列方程组。而RSA的安全性就在于大数n的不可分解性,一个很大的数n是很难在现有条件下分解成两个素数p、q的乘积的,因此想要破解出私钥d的值是很难的,也就很难被解密。
攻防世界-难度1-Misc总结
Welcome To Myon'Blog !
03-05 4747
攻防世界-难度1-Misc总结 ; 主要针对Misc入门、图片隐写; kali linux、Stegsolve.jar、010Editor、WinHex、QR Research、Ziperello、ARCHPR、RX-SSTV、IDLE、Bandizip、7zFM、Firefox、SilentEye、DeepSound、PS、Wireshark;binwalk、foremost、zsteg、strings、grep、stegpy、file、checksec、pngcheck、convert、montage
攻防世界web进阶区unfinish详解
hxhxhxhxx的博客
08-09 3925
攻防世界web进阶区unfinish详解题目详解 题目 详解 我们使用御剑,扫描一波 我们进入注册页面查看,发现这个,有注册的话猜一下二次注入(这里注入,然后去页面看结果) 我们先拿AWVS试试, 哦~我的上帝,它存在注入 我们试试,burp的fuzz看看他过滤了什么 还是过滤了蛮多的 这些是都没过滤的 既然知道了他是sql注入 那么我们为啥不用sqlmap呢 我们使用sqlmap,发现只能知道这里有注入点,但是过滤很严重 我们需要找找合适的tamper 哦~我的上帝,果然不行,看来还得看看师
一道经典CTF题目——“1和0的故事”
m0_62588487的博客
10-12 1071
无聊写一个夺旗题
react-shrine:使用React构建的“ Shrine”渐进式Web应用程序示例
02-05
更新到新版本 Create React App分为两个包: create-react-app是用于创建新项目的全局命令行实用程序。 react-scripts是所生成项目(包括此项目)中的开发依赖项。 您几乎几乎不需要更新create-react-app本身:它...
Ruby-Shrine用来处理文件上传的Ruby工具包
08-15
Shrine - 用来处理文件上传的Ruby工具包
shrine-rails-example:使用Shrine gem的示例应用程序
03-10
直接上传和后台也具有性能优势,因为您的应用程序不必接收文件上传(因为文件直接上传到S3),并且Web工作人员不会被处理,存储或删除所阻止。 执行 该演示可以将文件直接上传到S3(生产中的默认设置),也可以将...
the-shrine-ng:a复古音板的渐进式Web应用程序。 神社带有“古德·劳恩!” 还有更多传奇般的声音:speaker_high_volume:
02-05
二十一世纪神社 但为什么?...将其添加到static/grooves.json文件 构建设置 # install dependencies $ yarn install # serve with hot reload at localhost:3000 $ yarn run dev # build for producti
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1307
学习pwn开始,慢慢来不要急
攻防世界NewsCenter
qq_45955869的博客
05-19 504
提示:攻防世界新手模式难度2NewsCenter提示:以下是本篇文章正文内容,下面案例可供参考比较基础,比较简单。
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 1810
一、在CTF的Web题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
CTF-攻防世界web新手入门篇
weixin_45923850的博客
04-14 1万+
CTF练习题目
攻防世界-unseping
m0_49025459的博客
12-17 2787
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
ctf从0到1
mingyqf的博客
02-28 1786
网站链接: https://www.ichunqiu.com/battalion?t=1&r=68487 举足轻重的信息搜集 第一题:常见的搜集 进入环境,用dirsearch扫一下,发现存在vim备份文件,gedit备份文件和robots.txt文件。 robots.txt直接访问,发现flag1_is_her3_fun.txt,直接访问发现了flag1。 index.php~直接访问,发现flag2。 直接访问.index.php.swp,把vim备份文件下载下来,然后vim -r inde
【愚公系列】2023年06月 攻防世界-Web(wzsc_文件上传)
时光隧道
06-17 5005
文件上传漏洞(File Upload Vulnerability)是指攻击者通过某种方式绕过应用程序上传文件的安全检测机制,将恶意文件或脚本上传至目标服务器,达到执行任意恶意代码的目的。攻击者可以通过此漏洞窃取、篡改、删除或破坏网站数据,或对受害者发起其他形式的攻击。文件上传漏洞可能出现在各种类型的Web应用程序中,包括电子商务、CMS、论坛、博客、社交网络和在线媒体等。攻击者通常会利用Web应用程序提供的文件上传功能,来上传恶意文件。
攻防世界MISCall
一颗小白菜的博客
04-02 1849
攻防世界MISCall 1、题目 网址:攻防世界 2、原理及工具 原理:git信息泄露 git官网资料:https://www.git-scm.com/book/zh/v2 工具:kali、python 3、解题过程 下载下来的文件名字太长,先改个名字 root@kali:~/Desktop/CTF# mv d02f31b893164d56b7a8e5edb47d9be5 miscall roo...
攻防世界】web新手题知识点WriteUP及知识点讲解(超超超详细)
qq_62604985的博客
09-19 833
在url处进入 /robots.txt 查看到以下页面。尝试访问fl0g.php文件得到flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值