[WesternCTF2018]shrine

最新推荐文章于 2024-01-13 17:29:52 发布
原创 最新推荐文章于 2024-01-13 17:29:52 发布 · 544 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文深入解析了服务器端模板注入(SSTI)的概念,通过WesternCTF2018的shrine挑战实例,展示了如何利用flask/jinja2模板引擎的漏洞,绕过黑名单过滤,最终获取FLAG。介绍了SSTI的检测工具tplmap的使用方法。

[WesternCTF2018]shrine

import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
    return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
    app.run(debug=True)

flask引擎-jinja2模板注入

利用tplmap这个工具进行检测是否有模板注入漏洞

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZEXLJHkq-1588052755103)(C:\Users\honor\AppData\Roaming\Typora\typora-user-images\1588051929946.png)]

Automatic Server-Side Template Injection Detection and Expleion tool [checks] Tested parameters appear to be not injectable
翻译:
服务器端模板自动注入检测和删除离子工具!][检查经过测试的参数似乎无法注入

模板渲染接受的参数需要用两个大括号括起来{{}}

模板注入也在大括号里构造

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1p10nrIi-1588052731868)(C:\Users\honor\AppData\Roaming\Typora\typora-user-images\1588052033551.png)]

在shrine路径下 ssti注入能运行

回头看下源码

app.config[‘FLAG’] = os.environ.pop(‘FLAG’)

注册了一个名为FLAG的config,猜测这就是flag,

如果没有过滤可以直接{{config}}即可查看所有app.config内容

推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号

不过python还有一些内置函数,比如url_for和get_flashed_messages

/shrine/{{url_for.globals}}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JuZplCkN-1588052731869)(C:\Users\honor\AppData\Roaming\Typora\typora-user-images\1588052314046.png)]

current_app-当前app,查看当下app中的config

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VMnUNcw0-1588052731876)(C:\Users\honor\AppData\Roaming\Typora\typora-user-images\1588052397235.png)]

得到flag

知识点:

SSTI模板注入:

模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程

服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)

引擎有不同的测试以及注入方式:

flask/jinja2模板注入

PHP/模版引擎Twig注入

[WesternCTF2018]shrine writeup
ShenZ的博客
02-15 630
ps 关于**os.environ**: [OS.ENVIRON()详解_Muqingluan](https://blog.youkuaiyun.com/junweifan/article/details/7615591) > python获得一些有关系统的信息 本题的思路就是要读取全局变量(我尝试过构造ssti命令执行的payload,但是`__subclasses__()`时会报错,失败了 测试一下python的ssti ``` /shrine/{{8*9}} ```
[WesternCTF2018]shrine 1(flask)
weixin_45577185的博客
09-10 380
非常完美的答案 分析源码 app.config['FLAG'] = os.environ.pop('FLAG') 注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 上面这行代码把黑名单的东西遍历并设为空,例如:
WesternCTF2018_shrine
抒情诗
05-08 524
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.youkuaiyun.com/qq_42812036/article/details/104324923 0x00 开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码: import flask import os app = flask.Fla...
web buuctf [WesternCTF2018]shrine
weixin_44214568的博客
04-04 1437
考点:模板注入(flask) 1.打开整理代码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //显示代码 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(
攻防世界题目练习——Web引导模式(四)(持续更新)
qq_48550824的博客
11-07 805
以及服务相应的版本…等等,从而可以找到相应的漏洞。不知道这个admin是uname输入框还是passwd输入框变过来的,盲猜应该是uname,重新试一下改了一下passwd,但是发现并没有返回302结果,返回的是200,并且没有像上一个一样的this_is_your_cookie的Set-Cookie的值,猜测可能是因为用户名密码不正确?的讲解,“能够对外发起网络请求的地方,就可能存在 SSRF”,我的理解为:凡是一个输入框可以用来访问其他网站的,就可能存在ssrf漏洞。
[Western CTF 2018]shrine
weixin_45751765的博客
02-16 1578
0x00 前言 ssti复习 贴一下源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def s
BUUCTF [WesternCTF2018]shrine
qq_42812036的博客
02-15 2595
[WesternCTF2018]shrine模板注入 题目打开查看源码,给的python代码,看到flask,想到模板注入 可以这样测试: 看源码app.config['FLAG'] = os.environ.pop('FLAG') 推测{{config}}可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号 不过python还有一些内置函数,...
BUUCTF-[WesternCTF2018]shrine
最新发布
tmyzxy1314的博客
01-13 579
shrine/{{url_for.__globals__}} 输出所有全局变量。不知到是哪一个就一个一个试,这里我知道是current_app。这道题,只要学会了ssti,认真分析代码就可以轻松拿下。/shrine/{{2-2}} 判断是否有ssti漏洞。其实以及获取了flag了但是可以再深入一点。运用Flask函数url_for()访问题目链接是一串python代码。这样不好看,查看源代码。
buuctf-[WesternCTF2018]shrine(小宇特详解)
小宇的web博客
02-26 2177
buuctf-[WesternCTF2018]shrine(小宇特详解) 1.先看题目 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') //注册了一个名为FLAG的config @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值