攻防世界web进阶区shrine详解

攻防世界web进阶区shrine详解

  • 题目
    • 详解

题目

攻防世界web进阶区shrine详解_第1张图片
很明显给了一堆代码,我们将它整理一下

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')

@app.route('/')
def index():
    return open(__file__).read()\

@app.route('/shrine/')
def shrine(shrine):
   
   def safe_jinja(s):
       s = s.replace('(', '').replace(')', '')
       blacklist = ['config', 'self']
       return ''.join(['{{% set {}=None%}}'.format(c)for c in blacklist]) + s
       return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
    app.run(debug=True)

详解

我们发现他是一个flask框架,这里我们猜测他是ssti注入,(模板注入)
我们使用tplmap试试

./tplmap.py -u ‘xxxxxx’

发现不行,
攻防世界web进阶区shrine详解_第2张图片
然后发现这里有两个路径,我们访问试试,并测试测试模板注入
攻防世界web进阶区shrine详解_第3张图片
我们发现,他存在模板注入
攻防世界web进阶区shrine详解_第4张图片

同时,他将config和self当成了黑名单 而flag在config文件里
如果没有黑名单的时候,我们可以传入 config,或者传入{{self.dict}}获取,但当这些被过滤的时候,我们需要借助一些全局变量利用沙盒逃逸的方法,来调用被禁用的函数对象。

current_app,这是全局变量代理,查看他的config即可

我们输入的值首先被传到了safe_jinja函数,然后由flask.render_template_string进行渲染
传入的( )都会被置换为空
攻防世界web进阶区shrine详解_第5张图片
我们写payload

{{url_for.__globals__['current_app'].config}}

获取全局变量的config
攻防世界web进阶区shrine详解_第6张图片

那么我们看看官方的wp

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

获取全局文本,current_app的config里面的flag

详细的模板注入
见这里
https://zhuanlan.zhihu.com/p/93746437

你可能感兴趣的:(CTF)