WEB:shrine

背景知识

        了解Flask

        SSIT模板注入

题目

进行代码审计

import flask
import os
 
app = flask.Flask(__name__) 
/*创建了flask包下的Flask类的对象，name是一个适用于多数情况的快捷方式。有了这个参数，Flask才知道在哪里可以找到模板和静态文件*/
 
app.config['FLAG'] = os.environ.pop('FLAG')
//这句话的意思就是说flag在app的config变量里
 
 
@app.route('/')
 
/* @app.route(url) 是Flask框架中的一个装饰器，他的作用是在程序运行时，装饰一个视图函数，用给定的url规则和选项注册他*/
 
def index():
    return open(__file__).read() //相当于返回源码，也就是我们看到源码的页面
 
 
@app.route('/shrine/')
//这个是带参数的写法
def shrine(shrine): // 这里shrine的值就是上面的 
 
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '') // 先将 ) 替换为 空，再将 ( 替换为 空
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s 
//匹配黑名单,将匹配到的config和self换成空字符
 
    return flask.render_template_string(safe_jinja(shrine)) 
// 这句话就是调用了过滤函数对用户输入的网址进行过滤
 
 
if __name__ == '__main__':
    app.run(debug=True) //如果这个python是主程序，则启动app

注册了一个名为FLAG的config，猜测这就是flag，如果没有过滤可以直接{{config}}或 {{self.dict}}即可查看所有app.config内容，但是这题设了黑名单[‘config’,‘self’] 并且过滤了括号

如果有过滤，就需要尝试通过全局变量实现沙盒逃逸

ssit模板注入

模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程
服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)
模板渲染接受的参数需要用两个大括号括起来{{}}，所以我们需要在大括号内
构造参数形成注入

 首先看是否存在注入{{1+1}}

存在，需要构建payload来查看app.config[‘FLAG’]

直接config是不行的，被过滤。通过别的函数来查看全局变量来获取当前的app，目标是app.config[‘FLAG’] 。如python的内置函数url_for或者get_flashed_messages，利用python对象之间的引用关系来调用被禁用的函数对象。

首先注入

/shrine/{{url_for.__globals__}}

 current_app意思应该是当前app，那就当前app下的config

/shrine/{{url_for.__globals__['current_app'].config}}

 找到flag

参考学习文章链接：

https://www.cnblogs.com/wuhongbin/p/14283829.html 

【愚公系列】2023年05月 攻防世界-Web（shrine）_愚公搬代码的博客-CSDN博客

攻防世界web题-shrine_shirne大佬_努力做大佬m0_68074153的博客-CSDN博客