116,【8】 攻防世界 web shrine(jinja2)

已于 2025-02-08 17:29:58 修改
阅读量367 收藏 4
点赞数 5
文章标签: 前端
于 2025-02-06 22:06:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2402_87039650/article/details/145482299
版权

进入靶场

看开头像python代码

# 从 flask 库中导入 Flask 类,用于创建 Flask 应用实例
from flask import Flask
# 导入 os 模块,用于与操作系统进行交互,这里主要用于获取环境变量
import os

# 创建一个 Flask 应用实例,__name__ 是 Python 中的一个特殊变量,表示当前模块的名称
app = Flask(__name__)

# 从环境变量中获取名为 'FLAG' 的值,并将其设置为应用配置中的 'FLAG' 项
# os.environ.pop('FLAG') 会从环境变量中移除 'FLAG' 并返回其值
# 这样做可能是为了保证敏感信息(如 FLAG)不会一直存在于环境变量中
app.config['FLAG'] = os.environ.pop('FLAG')

# 使用装饰器 @app.route 定义一个路由,当用户访问根路径 '/' 时,会触发下面的函数
@app.route('/')
def index():
    # 打开当前文件(即这个 Python 脚本文件),并读取其内容
    # __file__ 是 Python 中的一个特殊变量,表示当前文件的路径
    # open(__file__).read() 会返回当前文件的所有文本内容
    return open(__file__).read()

# 使用装饰器 @app.route 定义一个路由,当用户访问 '/shrine/' 路径时,会触发下面的函数
# 这里的 <shrine> 是一个动态路由参数,用户请求的具体内容会作为参数传递给函数
@app.route('/shrine/<shrine>')
def shrine(shrine):
    # 定义一个内部函数 safe_jinja,用于对用户输入的内容进行过滤和处理
    def safe_jinja(s):
        # 将用户输入的内容中的左括号 '(' 和右括号 ')' 替换为空字符串,即移除括号
        s = s.replace('(', '').replace(')', '')
        # 定义一个黑名单列表,包含不允许在用户输入中出现的关键字
        blacklist = ['config', 'self']
        # 遍历黑名单中的每个关键字,生成对应的 Jinja2 模板语句
        # '{
  
  {% set {}=None%}}'.format(c) 会将关键字设置为 None,避免用户利用这些关键字进行恶意操作
        # ''.join(...) 将生成的语句拼接成一个字符串,并添加到用户输入内容的前面
        return ''.join(['{
  
  {% set {}=None%}}'.format(c) for c in blacklist]) + s
    # 调用 safe_jinja 函数对用户输入的 shrine 参数进行处理
    # 然后使用 flask.render_template_string 函数将处理后的内容作为 Jinja2 模板进行渲染并返回
    return flask.render_template_string(safe_jinja(shrine))

# 当这个脚本作为主程序运行时,执行下面的代码
if __name__ == '__main__':
    # 启动 Flask 应用,开启调试模式
    # 调试模式下,当代码发生更改时,应用会自动重启,并且会显示详细的错误信息
    app.run(debug=True)

 过滤了config和self

都是flask里会出现的东西

还有get_flashed_messages 函数可以尝试,它是 Flask 框架中的一个非常实用的函数,主要用于获取之前通过 flash 函数存储的消息。这些信息通常只需要显示一次,在用户刷新页面或者进行下一次请求后就不再需要显示

 

 /shrine/{ {url_for.__globals__['current_app'].config['FLAG']}}

1. url_for

 

url_for 是 Flask 框架中一个非常有用的函数,用于根据视图函数的名称生成对应的 URL。在 Python 里,函数也是对象,每个函数都有自己的属性,__globals__ 就是其中之一。

2. __globals__

 

__globals__ 是函数对象的一个属性,它指向函数所在的全局命名空间。通过这个属性,可以访问到函数所在模块的全局变量。

3. ['current_app']

 

current_app 是 Flask 中的一个全局代理对象,它代表当前正在运行的 Flask 应用实例。借助 url_for 函数的 __globals__ 属性,可以获取到这个全局代理对象。

4. .config

 

config 是 Flask 应用实例的一个属性,它是一个字典,用于存储应用的各种配置信息,像数据库连接字符串、密钥、调试模式开关等。

5. ['FLAG']

 

['FLAG'] 表示从 config 字典中获取键为 FLAG 的值。

 

 

笔记 

ssti是一个新知识点

Flask框架漏洞:SSTI_flask ssti-优快云博客

SSTI漏洞详解-优快云博客

 

rzydal
关注
【网络安全 | CTF】攻防世界 shrine 解题详析
等风来
07-24 5727
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界】十六、shrine
Hi~ 土拨鼠
09-24 448
打开所给场景,发现给了一段python代码: 整理一下源码进行分析: import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_ji.
攻防世界shrine
weixin_52268949的博客
02-28 614
shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s):
攻防世界 shrine 详解
xmj818719的博客
03-29 2051
打开题目 整理源码 代码审计: 目标 config['FLAG'] 过滤了 config,self 这两个函数的过滤没看懂,总之好像也没过滤掉(应该是过滤了后面的变量),圆括号是彻底的被过滤掉了,URL编码都没用(刚开始想测试XSS来着) 做完后,拿编译器跑了一下带config的payload也没发现过滤 回归正题 2个@app.route 为路由 第一个是 / 使用URL/ 可访问index()也就是刚刚开始显示的源码 第二个...
攻防世界-shrine
MILLOPE的博客
10-14 257
题目 传送门 WP 打开题目 有一段代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s):
攻防世界--Web进阶--Shrine--flask模板注入--全局变量Current-app--沙盒逃逸
z2560088的博客
10-11 2034
查看项目源码 代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def saf...
攻防世界 web篇(二)
weixin_51387754的博客
09-09 559
夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
攻防世界web解题[进阶](五)
weixin_46703850的博客
03-10 570
攻防世界web解题[进阶](五) 介绍:记录解题过程 15.Web_python_template_injection(python 模板注入) 16.Web_php_unserialize( php 反序列) 17.easytornado 18.shrine(flask模板注入)
攻防世界----shrine
qq_44418229的博客
07-14 915
Flask的payload集合
shrine-攻防世界
szhangliwenya的博客
04-09 810
全局变量 url_for()函数和get_flashed_messages()函数,能够访问config对象,config 对象就是Flask的config对象,也就是 app.config 对象。在调试模式下,应用会提供额外的错误信息,并可以实时重载代码。从环境变量中取出名为 'FLAG' 的值,并将其存储在 Flask 应用的配置中。对于黑名单中的每个词,生成一个 Jinja2 模板代码片段,该片段将这个词设置为。导入 Flask 框架,Flask 是一个轻量级的 Web 应用框架。
攻防世界shrine
wangzhemvp的博客
04-05 308
2)blacklist = ['config', 'self']:黑名单,但flag在config文件里。(1)app.config['FLAG']:把FLAG放到app里。(一般ctf把flag藏在config里);如果config,self不能使用,就用。如果没有黑名单,直接用。
攻防世界--shrine-(详细操作)做题笔记
qq_43715020的博客
06-14 1229
攻防世界--shrine-笔(详细操作)做题笔记
攻防世界webshrine
最新发布
2301_82091795的博客
12-12 936
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s //最后可以看 到"{{}}"双大括号标志代表是jinja类的模板,下面也有写到。blacklist = ['config', 'self'] //黑名单内有config和self。s = s.replace('(', '').replace(')', '') //这块在检测括号并替换成空格。
攻防世界XCTF:shrine
末初 · mochu7
03-14 6808
这题涉及到我的知识盲区,主要是以下几点: SSTI Flask 框架 Bypass Sandbox 整理得到源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return op...
攻防世界34-shrine-CTFWeb
LH1013886337的博客
10-21 295
flag在app.config[‘FLAG’] = os.environ.pop(‘FLAG’)里。尝试下,是个SSTI问题,并且过滤()和config和self。
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 460
攻防世界 web进阶区 shrine python的flask框架代码审计,以及相关漏洞利用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值