攻防世界-shrine题分析

最新推荐文章于 2024-07-12 18:07:56 发布

学编程的小w

最新推荐文章于 2024-07-12 18:07:56 发布

阅读量986

点赞数

分类专栏： writeup 文章标签： php 安全 flask

本文链接：https://blog.csdn.net/weixin_46784800/article/details/121456474

版权

本文详细分析了攻防世界中的shrine题目，涉及Flask模板注入。通过代码审计，发现存在命令执行和模块注入。通过查询Flask模板文档，利用魔术方法特别是_global_来绕过限制，成功访问到config并获取flag。

摘要由CSDN通过智能技术生成

shrine

题目分析

进入靶场后可以看见给出了源码，比较乱的话可以 ctrl+u查看源码：

进行代码审计可以发现，这个网页是用flask模板写的，这时就很容易就联想到flask模板注入

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>'

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

学编程的小w

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

【网络安全 | CTF】攻防世界 shrine 解题详析

等风来

07-24

3975

进入环境：格式化代码：这段代码创建了一个 Flask 应用对象，并设置了一个名为 FLAG 的配置项，其值来自环境变量。然后定义了两个路由，一个用于返回当前文件的内容，另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中，但黑名单过滤了config，通过Jinja2联想SSTI注入在这个程序中，/shrine/ 是定义的路由路径，会匹配到处理该路径的函数。于是构造路径：回显如下：说明SSTI可行在 Flask 中，url_for 函数是定义在 Flask 的全局命名空间中的

攻防世界--Web进阶--Shrine--flask模板注入--全局变量Current-app--沙盒逃逸

z2560088的博客

10-11

1943

查看项目源码代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def saf...

参与评论您还未登录，请先登录后发表或查看评论

攻防世界web进阶区shrine

gongjingege的博客

07-31

573

打开链接，查看源码代码审计看见了flask，考虑模板注入，@app.route后跟着路径，还有一部分过滤试一下 /shrine/{{1+1}},回显为2，确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config，flag应该就在这里面，本来可以直接查看{{config}}，但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')

攻防世界-shrine

MILLOPE的博客

10-14

220

题目传送门 WP 打开题目有一段代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s):

攻防世界shrine

最新发布

weixin_73399382的博客

07-12

321

flask模版注入加沙盒逃逸，触及到知识盲区了，直接看这篇文章吧。

【攻防世界】十七 --- shrine --- SSTI

qq_43168364的博客

12-28

468

题目 — shrine 一、writeup 二、知识点

Ruby-Shrine用来处理文件上传的Ruby工具包

08-15

Ruby-Shrine是一个强大的Ruby库，专门用于处理文件上传任务，为开发者提供了灵活、可扩展的解决方案。在Web应用中，文件上传是常见的功能，Shrine致力于简化这一过程，确保安全、可靠的文件处理。 Shrine的核心理念...

攻防世界----shrine

qq_44418229的博客

07-14

831

Flask的payload集合

【攻防世界】shrine

wangzhemvp的博客

04-05

247

（2）blacklist = ['config', 'self']：黑名单，但flag在config文件里。（1）app.config['FLAG']：把FLAG放到app里。（一般ctf把flag藏在config里）；如果config，self不能使用，就用。如果没有黑名单，直接用。

shrine-攻防世界

szhangliwenya的博客

04-09

745

全局变量 url_for()函数和get_flashed_messages()函数，能够访问config对象,config 对象就是Flask的config对象，也就是 app.config 对象。在调试模式下，应用会提供额外的错误信息，并可以实时重载代码。从环境变量中取出名为 'FLAG' 的值，并将其存储在 Flask 应用的配置中。对于黑名单中的每个词，生成一个 Jinja2 模板代码片段，该片段将这个词设置为。导入 Flask 框架，Flask 是一个轻量级的 Web 应用框架。

攻防世界 shrine 详解

xmj818719的博客

03-29

1906

打开题目整理源码代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤回归正题 2个@app.route 为路由第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码第二个...

攻防世界--shrine-(详细操作)做题笔记

qq_43715020的博客

06-14

1021

攻防世界--shrine-笔(详细操作)做题笔记

攻防世界 web进阶区 shrine

m0_51395584的博客

06-22

406

攻防世界 web进阶区 shrine python的flask框架代码审计，以及相关漏洞利用

攻防世界 shrine 解题思路

xj28555的博客

07-15

2295

进入题目发现一串源代码，但是不规则，所以我们ctrl+u查看源代码这样就整理好了代码，接下来就是审计代码了。我们来看看这个代码都写了啥。首先导入了两个模块，一个flask，一个os。然后用app.route装饰器传了两个路径那我们访问一下这个路径发现shrine后面的内容会被显示到浏览器上，那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算，那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不

攻防世界web进阶区shrine详解

hxhxhxhxx的博客

07-30

2250

攻防世界web进阶区shrine详解题目详解题目很明显给了一堆代码，我们将它整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()\ @app.route('/shrine/') def shrine(shrine):

2010年全面解读Java教程：从基础知识到进阶应用

- Java编程环境设置，如1.2中的`Java䈝䀰Ⲵ⢩ Shrine`，讲述了JDK的安装和配置，以及Java开发环境的搭建。 - `Javaᓄ⭘࠶㊫`部分可能涉及类和对象的概念，以及面向对象编程的基石。 2. 进阶主题： - Java高级...